Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

Вредоносный бэкдор Oyster: новые угрозы и методы SEO-распространения

3
3 мин
Оглавление

Вредоносный бэкдор Oyster: новые методы распространения и особенности атаки

В начале июня 2025 года специалисты по кибербезопасности зафиксировали новую волну распространения вредоносного бэкдора, известного как Oyster (также известного под именами Broomstick и CleanupLoader). Этот вредоносный инструмент распространялся с помощью тактики SEO-отравления, маскируясь под легитимное программное обеспечение — популярные утилиты вроде PuTTY, KeyPass и WinSCP. Острая актуальность этой угрозы связана с её способностью обеспечить удалённый доступ злоумышленникам и стать ключевым звеном в цепочке заражения программами-вымогателями.

Механизм распространения и цели Oyster

Бэкдор Oyster имеет давнюю историю — его активность зафиксирована как минимум с 2023 года. В основном он нацелен на создание обманчивых установщиков для широко распространённых приложений, включая Google Chrome и Microsoft Teams. Вредоносная кампания использует методы SEO-оптимизации и вредоносную рекламу для привлечения потенциальных жертв, позволяя им случайно загрузить заражённое ПО.

  • SEO-отравление создаёт видимость легитимных ссылок в поисковых системах;
  • Вредоносные установщики маскируются под популярные программы;
  • Цель — установка удалённого доступа на заражённой машине;
  • После проникновения злоумышленники могут загружать дополнительные вредоносные компоненты, включая программы-вымогатели.

Один из заметных инцидентов произошёл в июле 2025 года, когда пользователь загрузил заражённый установщик, выданный за PuTTY. Несмотря на то, что бэкдор был вскоре обнаружен и заблокирован, вскрытие происшествия показало, что злоумышленник не осуществлял непосредственных манипуляций непосредственно во взломанной системе, что может свидетельствовать о частичной автоматизации процессов атаки.

Технические особенности и цепочка заражения

После загрузки и запуска вредоносного установщика бэкдор развертывает динамическую библиотеку DLL (в данном случае — zqin.dll), которая активируется через системный процесс rundll32.exe. Это позволяет вредоносной программе работать в фоне и выполнять следующие задачи:

  • сбор системной информации;
  • кража учетных данных;
  • выполнение команд, получаемых от злоумышленников;
  • загрузка и установка дополнительных вредоносных компонентов.

Для обеспечения постоянства своей работы Oyster создаёт запланированную задачу с названием «FireFox Agent INC», настроенную на запуск каждые три минуты. Такой механизм гарантирует, что вредоносный код будет постоянно активен даже после перезагрузки системы.

Роль CyberProof Security Operations Center и важность мониторинга

В процессе расследования специалисты CyberProof Security Operations Center (SOC) выявили, что заражённый установщик был скачан с конкретного удалённого URL-адреса. Анализ журналов веб-прокси и активности пользователя показал, что начальный запрос поисковой системы мог привести к появлению дополнительных вредоносных ссылок, что впоследствии усилило распространение вредоносной кампании посредством SEO-заражения.

Особое внимание SOC было уделено росту числа отозванных сертификатов, применяемых в подобных атаках, что указывает на попытки злоумышленников обходить защитные механизмы с помощью поддельных цифровых подписей.

Выводы и рекомендации

Пример с Oyster ясно демонстрирует постоянное развитие и возрастание изощрённости методов распространения вредоносного ПО. Вредоносные компоненты становятся всё более скрытными и способны эффективно обходить традиционные средства защиты, используя социальную инженерию и манипуляции с результатами поисковых систем.

Для минимизации риска заражения специалисты рекомендуют:

  • внимательно проверять источники загрузок ПО и использовать официальные сайты;
  • обновлять антивирусы и системы обнаружения угроз;
  • ограничивать права пользователей на установку программ;
  • организовывать обучение сотрудников с акцентом на выявление фишинговых и SEO-отравленных ссылок;
  • внедрять системы мониторинга и анализа веб-трафика для своевременного обнаружения подозрительной активности.

Случай с Oyster — очередное напоминание о том, что киберугрозы развиваются с каждым годом, требуя от специалистов усиленных мер и повышенной бдительности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Вредоносный бэкдор Oyster: новые угрозы и методы SEO-распространения".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
Кибербезопасность
Нейронные сети (Neural Networks)
Найти тему
Социальные сети и мессенджеры
Технологии будущего
Технологии в социальной сфере
Технологии в медицине
Нанотехнологии
Веб-разработка
Разработка игр
Интернет
IT (информационные технологии)
Гаджеты и электроника
Машинное обучение (Machine Learning)
Форум «Цифровые решения»
Технологии в финансах
Интернет вещей (IoT)
Робототехника
Языки программирования
Мобильная разработка
Системное администрирование
Кибербезопасность
25,6 тыс интересуются