Хакеры выдают себя за сотрудников ИТ-отдела в Microsoft Teams, чтобы устанавливать вредоносное ПО

Исследователи обнаружили новую волну атак на компании, где злоумышленники маскируются под сотрудников технической поддержки и связываются с работниками через Microsoft Teams. Под видом помощи или обновления программ они убеждают установить заражённые файлы, после чего получают скрытый доступ к внутренним системам организаций.

Специалисты компании BlueVoyant сообщили, что в этой операции применяется вредоносный инструмент A0Backdoor. Кампания сочетает методы психологического давления на пользователей, заражённые установочные пакеты и скрытые каналы связи для удалённого управления заражёнными устройствами.

Схема атаки начинается с контакта через корпоративный мессенджер. Преступники представляются сотрудниками внутреннего ИТ-отдела и убеждают пользователя выполнить ряд действий. Обычно жертву просят предоставить удалённый доступ к компьютеру через инструменты поддержки, среди которых используется Quick Assist. После получения доступа злоумышленники запускают заражённые установщики. Такие файлы выглядят как обычные обновления программ, связанных с Microsoft Teams. Установочные пакеты получают привычные названия, например Update.msi или UpdateFX.msi. Подобные имена не вызывают подозрений, поскольку похожи на обычные служебные обновления внутри корпоративной инфраструктуры.

После запуска установщик размещает файлы в системных каталогах, связанных с компонентами Microsoft. Обычно используются директории, где располагаются расширения Teams или системные модули для синхронизации устройств. Это помогает вредоносным компонентам выглядеть частью стандартной программной среды. Внутри пакета содержится смесь легитимных исполняемых файлов Microsoft и вредоносных библиотек. Такой набор позволяет применять технику загрузки DLL из стороннего источника. Суть метода заключается в том, что доверенное приложение запускается нормально, но подгружает вредоносную библиотеку из той же папки. Для системы процесс выглядит как работа стандартного программного компонента.

Центральным элементом заражения выступает вредоносная библиотека hostfxr.dll. Она маскируется под реальный модуль среды Microsoft .NET. В нормальных условиях такой файл отвечает за запуск приложений на платформе .NET. В заражённой версии библиотека выполняет совершенно другую задачу — она расшифровывает и запускает скрытый вредоносный код, встроенный в файл.

Исследователи BlueVoyant сообщили, что загрузчик вредоносного кода способен обходить системы анализа программ. Кроме того, управляющая инфраструктура кампании использует необычный канал обмена данными через DNS-запросы. Такая техника позволяет скрывать сетевую активность внутри обычного интернет-трафика.