Een nieuwe golf van cyberaanvallen richt zich op nietsvermoedende gebruikers die zoeken naar Microsoft Teams. De beruchte ransomwaregroep Rhysida verspreidt momenteel malware via nep-advertenties in zoekmachines, waarmee slachtoffers worden verleid om valse versies van de populaire Microsoft-app te downloaden. Het resultaat: complete systeeminfecties en afpersing.
Ransomwaregroep
Volgens beveiligingsbedrijf Expel, dat de campagne sinds juni 2024 volgt, koopt Rhysida advertenties in via zoekmachines zoals Bing. De advertenties leiden naar nagemaakte websites die eruitzien als de officiële downloadpagina van Microsoft Teams. Gebruikers die daar een installatiebestand downloaden, krijgen echter niet de echte software, maar OysterLoader, een kwaadaardig programma dat toegang verschaft tot het systeem. Zodra de malware actief is, kunnen criminelen ransomware installeren, bestanden versleutelen en losgeld eisen.
Malvertising als sluipwapen
De methode staat bekend als malvertising, het kopen van legitiem ogende advertentieruimte om bezoekers naar geïnfecteerde sites te leiden. Rhysida gebruikt hiervoor typosquatting, waarbij domeinnamen worden geregistreerd die slechts één of twee letters afwijken van het origineel (zoals “micorsoft-teams.com”).
Om detectie te vermijden, maakt de groep gebruik van code-signing certificaten en verstoptechnieken die antivirusprogramma’s misleiden. Volgens Expel worden nieuwe varianten van de malware vaak pas na enkele dagen door beveiligingssoftware herkend. Tijdens de eerste Teams-campagne in 2024 gebruikten de criminelen zeven certificaten; inmiddels zijn dat er meer dan veertig, wat wijst op een sterke opschaling van hun operatie.
Bekende naam, nieuwe tactieken
Rhysida opereert volgens het ransomware-as-a-service-model (RaaS). De kernontwikkelaars leveren malware en infrastructuur aan zogeheten affiliates, die de daadwerkelijke aanvallen uitvoeren in ruil voor een deel van de winst. De groep, die eerder actief was onder namen als Vice Society en Vanilla Tempest, staat bekend om aanvallen op zorginstellingen, overheden en onderwijsorganisaties.
Microsoft bevestigde dat het onlangs meer dan 200 frauduleuze beveiligingscertificaten heeft ingetrokken die in verband staan met Rhysida’s nep-Teamscampagne. Het bedrijf werkt samen met beveiligingspartners om nieuwe domeinen en bestanden te blokkeren.
Dreiging actueel
Toch blijft de dreiging actueel. Expel waarschuwt dat de campagne zich voortdurend aanpast en nog altijd actief is. De boodschap voor gebruikers is duidelijk: klik nooit op gesponsorde downloadlinks voor software, maar ga altijd rechtstreeks naar de officiële website van de fabrikant. Eén verkeerde klik kan genoeg zijn om je hele digitale omgeving te verliezen.