Installer Palsu Microsoft Teams Sebarkan Malware Oyster lewat Malvertising
Peneliti keamanan siber kembali menemukan kampanye malvertising dan SEO poisoning yang menargetkan pengguna Windows. Kali ini, pelaku ancaman menyebarkan malware Oyster melalui situs palsu yang menawarkan installer Microsoft Teams.
Apa Itu Oyster Malware?
Oyster—juga dikenal sebagai Broomstick atau CleanUpLoader—pertama kali terdeteksi pada pertengahan 2023. Malware ini berfungsi sebagai backdoor, memberi peretas akses jarak jauh ke perangkat yang terinfeksi. Dengan akses ini, pelaku dapat mengeksekusi perintah, memasang payload tambahan, hingga mencuri dan memindahkan file.
Oyster sering digunakan dalam kampanye malvertising yang menyamar sebagai perangkat lunak populer, seperti PuTTY atau WinSCP. Beberapa operasi ransomware, termasuk Rhysida, diketahui memanfaatkan Oyster untuk menembus jaringan korporat.
Modus Serangan Terbaru
Menurut laporan Blackpoint SOC, ketika pengguna mencari kata kunci “Teams download” di mesin pencari, mereka bisa diarahkan ke situs berbahaya teams-install[.]top. Situs ini meniru laman unduhan resmi Microsoft Teams dan menawarkan file installer bernama MSTeamsSetup.exe, sama seperti nama file resmi Microsoft.
Namun, alih-alih memasang aplikasi sah, file tersebut menjatuhkan DLL berbahaya bernama CaptureService.dll ke folder %APPDATA%\Roaming. Untuk mempertahankan akses, installer membuat scheduled task bernama “CaptureService” yang berjalan setiap 11 menit, menjaga backdoor tetap aktif bahkan setelah perangkat direstart.
Menambah legitimasi, file jahat ini bahkan menggunakan sertifikat digital dari entitas “4th State Oy” dan “NRM NETWORK RISK MANAGEMENT INC.”
Pola yang Sama dengan Kampanye Sebelumnya
Teknik ini serupa dengan kampanye installer palsu Google Chrome dan Microsoft Teams sebelumnya. Intinya, pelaku memanfaatkan kepercayaan pengguna terhadap hasil pencarian dan merek besar untuk menyebarkan malware.
Imbauan untuk Pengguna dan Admin IT
Karena target utama kampanye ini adalah admin IT yang biasanya memiliki kredensial tingkat tinggi, para ahli menyarankan:
- Hanya unduh perangkat lunak dari domain resmi atau terverifikasi.
- Hindari mengklik iklan di hasil pencarian.
- Gunakan solusi keamanan endpoint untuk mendeteksi aktivitas backdoor.
Sumber: BleepingComputer
