Microsoft сообщила о блокировке более 200 мошеннических сертификатов, применявшихся для подписи вредоносных файлов.
С их помощью злоумышленники распространяли поддельные установщики Microsoft Teams, содержащие бэкдор Oyster и вирус-вымогатель Rhysida.
По данным Microsoft Threat Intelligence, злоумышленники из группировки Vanilla Tempest (также известной как Vice Society) размещали фальшивые сайты и распространяли заражённые версии Teams под видом легитимных обновлений. Подписанные «настоящими» сертификатами от известных центров сертификации, такие файлы обходили защиту Windows и не вызывали подозрений у пользователей.
После установки вредонос загружал дополнительные модули, обеспечивая удаленный доступ к системе, а затем запускал Rhysida, который шифровал данные и требовал выкуп.
Microsoft отозвали все задействованные сертификаты и обновили механизмы проверки цифровых подписей, чтобы предотвратить подобные атаки в будущем.
Эксперты компании предупреждают, что злоумышленники всё чаще используют легитимные инструменты и инфраструктуру для обхода защиты. Пользователям рекомендуется загружать ПО только с официальных сайтов и проверять подписи издателей перед установкой.
С их помощью злоумышленники распространяли поддельные установщики Microsoft Teams, содержащие бэкдор Oyster и вирус-вымогатель Rhysida.
По данным Microsoft Threat Intelligence, злоумышленники из группировки Vanilla Tempest (также известной как Vice Society) размещали фальшивые сайты и распространяли заражённые версии Teams под видом легитимных обновлений. Подписанные «настоящими» сертификатами от известных центров сертификации, такие файлы обходили защиту Windows и не вызывали подозрений у пользователей.
После установки вредонос загружал дополнительные модули, обеспечивая удаленный доступ к системе, а затем запускал Rhysida, который шифровал данные и требовал выкуп.
Microsoft отозвали все задействованные сертификаты и обновили механизмы проверки цифровых подписей, чтобы предотвратить подобные атаки в будущем.
Эксперты компании предупреждают, что злоумышленники всё чаще используют легитимные инструменты и инфраструктуру для обхода защиты. Пользователям рекомендуется загружать ПО только с официальных сайтов и проверять подписи издателей перед установкой.
