Uuendusteks maskeerunud pahavara sihib Microsoft Teamsi kergeusklikke kasutajaid

Reklaamid suunavad kasutajad kurjategijate kontrolli all olevale veebilehele, mis näiliselt pakub vajalikke tarkvarauuendusi, ent tegelikult käivitub lingil klikkides powershelli skript ja arvutisse luuakse tagauks.

See võimaldab saata arvutisse lunavara ja varastada andmeid. Samuti võidakse tagaukse kaudu paigaldada edasiseks ründamiseks vajalikku tarkvara, näiteks Cobalt Strike'i, mille kaudu kurjategijad püüavad võrgus edasi liikuda ja rohkem masinaid nakatada.

Tähelepanuväärne on ka see, et reklaamide ostmise kaudu manipuleerivad kurjategijad otsingumootorite kõrgeimaid vasteid, suurendamaks tõenäosust, et pahaaimamatu kasutaja asub võltsuuendusi alla laadima.

Reklaamid jõuavad klientideni internetiotsingus reklaamitud vastetena: kui inimene nt otsib Google’ist MS Teamsi, siis esimesed vasted tulevad neile võltsuuenduste saitidele.

Kurjategijad ostavad ka tavalist reklaami, mida seejärel võidakse kuvada inimeste igapäevaselt külastatud veebilehtedel. Osades reklaamides võib ka sisalduda pahaloomulist JavaScripti koodi, millega suunatakse automaatselt kasutaja ümber oma pahavara jagavale petulehele.

CERT-EE soovitab järgida üldisi abinõusid, et mitte taoliste skeemide ohvriks langeda:

1. uuendusi lae alla ainult ametlikest keskkondadest, ära usu veebis surfates saadud teavitusi;
2. kasuta veebilehitsejate uusimaid versioone, mis suudavad pahaloomulisi lehekülgi tuvastada ja blokeerida;
3. kasuta erinevates suhtluskeskkondades erinevaid ja piisava keerukusega paroole.