SEO-poisoning: злоумышленники распространяют ValleyRAT через поддельный установщик Microsoft Teams
В конце 2025 года была зафиксирована масштабная кибершпионская атака, в которой злоумышленники используют SEO poisoning (отравление поисковой выдачи) для распространения вредоносного ПО под видом установщика Microsoft Teams.
За атакой стоит китайская APT-группировка Silver Fox, распространяющая троян удалённого доступа ValleyRAT.
Атака уже используется против организаций по всему миру и представляет критическую угрозу для корпоративной инфраструктуры.
✅ Что такое SEO Poisoning и как работает атака
SEO Poisoning — это метод, при котором атакующие продвигают вредоносные сайты в топ поисковой выдачи по популярным запросам.
В данной кампании злоумышленники:
- Продвинули поддельный сайт teamscn[.]com
- Полностью скопировали дизайн Microsoft Teams
- Разместили на нём троянизированный установщик
- Перехватывают пользователей, которые ищут:
- Microsoft Teams download
- Скачать Microsoft Teams
Пользователь сам загружает вредоносный файл, считая его официальным ПО.
🧠 Кто стоит за атакой: APT-группа Silver Fox
| Параметр | Значение |
|---|---|
| Название | Silver Fox |
| Происхождение | Китай |
| Тип | Advanced Persistent Threat (APT) |
| Цели | Шпионаж + финансовые атаки |
| Отрасли | IT, финансы, медицина, госсектор |
| География | Весь мир, фокус АТР |
| Основные техники | SEO poisoning, typosquatting, supply chain |
| Основной троян | ValleyRAT |
❗ Особенность атаки — false flag-обфускация: в загрузчике используются русские буквы и кириллица, чтобы запутать атрибуцию.
⚙️ Как происходит заражение: поэтапно
🔹 Этап 1 — Подмена поисковой выдачи
Пользователь ищет Microsoft Teams →
поисковик показывает фейковый сайт →
пользователь попадает на инфраструктуру злоумышленников.
🔹 Этап 2 — Загрузка вредоносного архива
Загружается файл:
MSTчamsSetup.zip (буква “ч” вместо “e”)
| Файл | Назначение |
|---|---|
| Setup.exe | Запуск заражения |
| Verifier.exe | Запуск ValleyRAT + ложный флаг |
| Profiler.json | Конфигурация и C2 |
| Оригинальный Teams | Маскировка |
🔹 Этап 3 — Отключение Windows Defender
Выполняется команда:
powershell.exe -ExecutionPolicy Bypass -Command Add-MpPreference -ExclusionPath C:\, D:\, E:\, F:\
✅ Все диски исключаются из проверки
✅ Антивирус становится «слепым»
🔹 Этап 4 — Установка ValleyRAT
Троян получает:
- Персистентность
- Полный удалённый доступ
- Связь с C2
- Маскировку под обычную установку Teams
☠️ Возможности ValleyRAT
| Категория | Что умеет |
|---|---|
| Удалённый доступ | Полный контроль ПК |
| Кража данных | Пароли, браузеры, файлы |
| Шпионаж | Кейлоггер, скриншоты |
| Управление системой | Реестр, службы |
| Сеть | Боковое перемещение |
| Команды | CMD, PowerShell |
⚠️ Один заражённый компьютер = потенциальный захват всей корпоративной сети.
🚨 Индикаторы компрометации (IOC)
- Домен: teamscn[.]com
- Архив: MSTчamsSetup.zip
- Файлы: Setup.exe, Verifier.exe, Profiler.json
- Команда PowerShell:
Add-MpPreference -ExclusionPath - Подозрительная установка Teams + скрытые процессы
🛡 Как защититься от SEO-атак и поддельных установщиков
✅ Технические меры защиты:
- EDR/XDR с поведенческим анализом
- Логи PowerShell
- DNS-фильтрация
- Проверка цифровых подписей
- Белые списки ПО
✅ Организационные меры:
- Централизованная установка ПО
- Запрет установки ПО пользователями
- Security Awareness Training
- План реагирования на RAT-инциденты
- Регулярные аудит и pentest
🧩 Детектинг в SIEM / EDR
ProcessName == "powershell.exe"
AND CommandLine CONTAINS "Add-MpPreference"
FileName REGEX ".*[А-Яа-я]+.*\.exe"
🚑 Что делать при заражении ValleyRAT
| Шаг | Действие | Срок |
|---|---|---|
| 1 | Изоляция ПК | 15 минут |
| 2 | Сбор логов и дампа | 1 час |
| 3 | Анализ масштаба | 4 часа |
| 4 | Очистка, сброс учёток | 24 часа |
| 5 | Восстановление | 48 часов |
🧠 Почему эта атака особенно опасна
- ✅ Использует доверие к Google
- ✅ Не требует эксплойта
- ✅ Работает через социальную инженерию
- ✅ Использует ложные флаги
- ✅ Маскируется под официальный софт
- ✅ Даёт полный контроль над системой
📌 Заключение
Кампания с распространением ValleyRAT через поддельный установщик Microsoft Teams — это наглядный пример того, как APT-группы объединяют SEO-манипуляции, социальную инженерию и малварь корпоративного уровня.
➡️ Больше нельзя считать поисковую выдачу безопасной.
➡️ Пользователь остаётся самым слабым звеном.
➡️ Только многоуровневая защита (Defense in Depth) способна остановить такие атаки.