駭客利用SEO毒化與惡意廣告散播微軟Teams假程式竊取公司網路存取權

2025-09-30

記者孫敬／編譯

資安界近期揭露一項精密複雜的網路攻擊行動，駭客正利用使用者對主流協作軟體的信任，誘騙他們下載惡意的Microsoft Teams版本，取得受害者系統的遠端存取權。這種戰術與過去涉及其他知名軟體（如PuTTY、WinSCP和GoogleChrome）的惡意活動相似。

資安公司Blackpoint觀察到最新一波攻擊，當使用者在搜尋引擎上鍵入「MicrosoftTeams下載」等關鍵字時，會被惡意廣告引導至詐騙網站。例如，一個偽裝成微軟官方下載入口的惡意網域teams-install[.]top，便提供了一個名為MSTeamsSetup.exe的惡意檔案。為了增加可信度並繞過基本安全檢查，這些假安裝檔通常還會使用來自「4th State Oy」或「NRM NETWORK RISK MANAGEMENT INC.」等可疑機構簽發的數位憑證。

延伸閱讀：臉書、Google廣告淪為惡意程式溫床駭客偽裝交易平台App竊取金融個資

Oyster後門的部署與持久化

一旦使用者執行了這個詐騙安裝檔，就會觸發一個多階段的攻擊程序，最終部署一個名為Oyster（或稱Broomstick）的持久性後門程式。

此惡意軟體會將一個名為CaptureService.dll的惡意DLL檔案，丟入%APPDATA%\Roaming資料夾中，並透過建立一個名為CaptureService的排程任務來建立持久性。這個排程任務被設定為定期運行該DLL檔案，確保後門即使在系統重啟後仍保持活躍，並能融入正常的Windows活動中。

Oyster後門在受感染的網路中為攻擊者提供了堅實的立足點，更具備多項危險功能，包括：允許遠端存取、蒐集系統資訊，並與惡意命令與控制（C2）伺服器建立通訊，以便竊取資料或接收進一步的惡意指令與酬載。Blackpoint分析指出，Oyster在本次活動中曾與nickbush24[.]com及techwisenetwork[.]com等C2網域進行通訊。

與Rhysida勒索軟體關聯的防禦建議

Oyster後門過去已被證實與Rhysida勒索軟體的行動有關聯，Rhysida等犯罪組織正是利用Oyster作為初期滲透的工具，進而入侵企業內部網路，實施更具破壞性的攻擊。

這項策略的轉變強調了駭客不再僅依賴傳統的釣魚郵件，而是透過惡意廣告（Malvertising）和搜尋引擎優化毒化（SEO Poisoning）等手法，在使用者下載軟體的源頭階段就主動「毒化軟體供應鏈」。這種設計意在繞過部分傳統防毒軟體和端點偵測與回應（EDR）解決方案，使其成為一種具備高度隱蔽性的危險威脅。

為了降低風險，建議組織和個人應採取以下措施：