黑客被发现利用 SEO 搜索引擎广告，推广伪造的 Microsoft Teams 安装程序，这些程序会向 Windows 设备植入 Oyster 后门，为攻击者获取企业网络初始访问权限铺路。 

Oyster 恶意软件又名 Broomstick、CleanUpLoader，是一款 2023 年年中首次出现的后门程序，目前已与多起攻击活动相关联。该恶意软件能为攻击者提供受感染设备的远程访问权限，支持执行命令、部署额外恶意载荷及传输文件等操作。

Oyster 通常通过 " 仿冒热门 IT 工具 " 的恶意广告活动传播，曾伪装成 Putty、WinSCP 等工具；Rhysida 等勒索软件团伙也利用过这款恶意软件入侵企业网络。

虚假 Teams 安装程序的攻击链条

Blackpoint SOC 发现这场新型恶意广告与 SEO 活动中，威胁者针对 "Teams download" 等搜索词布局——当用户搜索相关关键词时，会触发推广虚假下载网站的广告。

恶意的微软 Teams 下载网站在 Bing

尽管广告内容与域名未仿冒微软官方域名，但会引导用户进入伪装成微软 Teams 下载页面的 teams-install [ . ] top 网站。点击页面中的 " 下载链接 " 后，用户会获取名为 "MSTeamsSetup.exe" 的文件，该文件名与微软官方 Teams 安装程序完全一致。

假冒微软 Teams 网站分发 Oyster 恶意软件安装程序

这款恶意的 MSTeamsSetup.exe 文件使用了 "4th State Oy" 与 "NRM NETWORK RISK MANAGEMENT INC" 两家机构的数字证书进行签名，以此增强文件的可信度。

但该文件执行后，会向设备的 %APPDATA%Roaming 文件夹释放名为 CaptureService.dll 的恶意动态链接库。为实现持久化控制，安装程序还会创建名为 "CaptureService" 的计划任务，每 11 分钟执行一次该 DLL，确保设备重启后后门仍能保持活跃。

攻击特点与防御建议

此类活动与此前 " 伪装谷歌 Chrome、微软 Teams 安装程序传播 Oyster" 的攻击模式高度相似，印证了 SEO 恶意广告仍是黑客入侵企业网络的主流手段。他们以可信软件为幌子，分发常见后门程序。与今年早些时候发现的虚假 PuTTY 攻击活动类似，威胁者正利用用户对搜索结果及知名品牌的信任，获取初始访问权限。

由于 IT 管理员是黑客获取高权限凭据的重点目标，因此建议管理员：仅从经过验证的官方域名下载软件，避免点击搜索引擎中的广告链接。