Rhysida атакує через Teams, Zoom і Putty: нова хвиля malvertising-кампаній із підписом Microsoft

05.11.2025 1 хвилин Автор: Newsman

Хакерська група Rhysida почала поширювати шкідливе ПЗ через фейкові рекламні оголошення Bing, націлені на користувачів Microsoft Teams, Zoom і Putty. Зловмисники підробляють офіційні сторінки завантаження, використовуючи підписані Microsoft сертифікати для обходу захисту та зараження системи malware-завантажувачем OysterLoader. Rhysida, відома також як Vice Society, запустила нову malvertising-кампанію, орієнтовану на бізнес-користувачів популярних корпоративних інструментів — Teams, Zoom і Putty.

Атака виглядає так:

  • зловмисники купують рекламу в Bing;

  • користувач переходить на підроблений сайт;

  • бачить «офіційну» кнопку Download;

  • отримує файл, який встановлює OysterLoader.

OysterLoader — інструмент початкового проникнення, який дозволяє атакувальникам закріпитися у системі, уникати виявлення та завантажувати додаткові модулі. Дослідники також помітили використання Latrodectus, часто підписаного тими ж сертифікатами.

Головна особливість кампанії — зловживання Microsoft Trusted Signing: сертифікатами, які ОС використовує, щоб підтвердити легітимність файлів. Rhysida знаходить спосіб масово підписувати шкідливі програми та поширювати їх до блокування.

Microsoft уже відкликала понад 200 сертифікатів, але аналітики попереджають: атаки тривають, а зламана модель з підписами дозволяє групі обходити класичні захисти.

Rhysida останніми роками еволюціонувала з ransomware-групи у складний кіберкримінальний колектив зі змішаною тактикою:

  • malvertising

  • соціальна інженерія

  • ланцюг атаки з кількома інструментами

  • обхід контролів через легітимні сертифікати

  • Згідно з даними дослідників, лише з червня зафіксовано 40+ унікальних сертифікатів, тоді як рік тому — лише сім за аналогічний період. Це свідчить про масштабування атак і автоматизацію інструментів підпису malware.

Кампанія Rhysida демонструє критичний тренд: навіть підпис файлу сертифікатом більше не гарантує безпеку. Malvertising-атаки на популярні бізнес-додатки стають новою нормою. Компаніям варто:

  • перевіряти джерела завантаження програм

  • блокувати підозрілі рекламні домени

  • використовувати поведінкові EDR-системи

  • навчати співробітників не довіряти «офіційним» банерам

Сучасні загрози стають витонченішими — і використовують ті ж канали, яким довіряє бізнес.

Підписатися
Сповістити про
0 Коментарі
Найстаріші
Найновіше Найбільше голосів
Інші статті по темі
Знайшли помилку?
Якщо ви знайшли помилку, зробіть скріншот і надішліть його боту.