Microsoft, dijital şantajcıların saldırı zincirindeki önemli bir bileşene ait 200’den fazla sertifikayı iptal ederek Teams kullanıcılarını hedef alan bir fidye yazılımı tehdit aktörünün etkinliğini köreltti.
Infosec şirketleri tarafından Vice Spider ve Vice Society olarak da takip edilen Vanilla Tempest, gerçek görünümlü kötü amaçlı alan adlarında barındırılan sahte Microsoft Teams yükleyicilerini dağıtmak için yakın zamanda bir kampanya başlattı.
Vanilla Tempest “mali amaçlıdır” ve fidye yazılımı dağıtır ve verileri sızdırır.
Microsoft Threat Intelligence, kullanıcılar .exe yükleyicilerini çalıştırırsa, indiricinin Oyster arka kapısını ve sonuçta Rhysida fidye yazılımını yükleyeceğini yazdı.
Microsoft, Vanilla Tempest’in Rhysida’nın yanı sıra bir dizi başka fidye yazılımı da kullandığını söyledi.
Fidye yazılımı akıncıları, sahte yükleyicileri ve ilk uzlaşmanın ardından kullanılan araçları Trusted Signing, SSL.co, DigiCert ve GlobalSign sertifikalarıyla imzalamıştı.
Microsoft, artık kötü amaçlı yazılımı doğrulamak için kullanılan dijital sertifikaların iptal edildiğini ve bunun meşru dosyaların taklit edilmesini zorlaştırdığını söyledi.
Microsoft Threat Intelligence, sertifika iptallerini LinkedIn ve diğer sosyal medya gönderilerinde duyurdu.