Аналитики центра противодействия фишингу компании Cofense заметили тревожную тенденцию. Злоумышленники всё чаще используют привычные приёмы социальной инженерии не только для кражи паролей, но и для установки вредоносного ПО и получения удалённого доступа к корпоративным сетям. Последняя кампания ярко демонстрирует этот сдвиг: она подделывает приглашение на конференцию в Zoom, а в итоге доставляет на компьютер жертвы легитимный инструмент для удалённого администрирования.
Описание
Вредоносная рассылка выглядит как обычное письмо без фирменного стиля. В нём нет логотипов Zoom, только текст и гиперссылка "Join here" с дополнительной подписью "JOIN ZOOM MEETING". Пользователь, который привык получать такие приглашения, вряд ли сразу заметит подвох. Переход по ссылке ведёт на поддельную страницу, внешне почти неотличимую от настоящего интерфейса Zoom. На ней есть иконка браузера, заголовок вкладки и URL, копирующий формат легитимных адресов. Страница сначала показывает заставку "Preparing your meeting experience...", а затем переключается в окно присоединения к конференции.
Здесь злоумышленники проявили особую изобретательность. На поддельной странице отображаются вымышленные данные: количество участников, имя и должность организатора, а также идентификатор встречи и её продолжительность. Эти детали повышают доверие жертвы. Более того, браузер запрашивает разрешение на доступ к микрофону - именно так происходит при подключении к настоящему звонку. После нажатия кнопки "Join Meeting" пользователь попадает в интерфейс, который снова имитирует Zoom. Чтобы убедить жертву в реальности происходящего, злоумышленники даже проигрывают искажённый аудиосигнал, имитируя частые проблемы со звуком. Это заставляет человека поверить, что он действительно находится в конференции.
Через несколько секунд на экране появляется всплывающее окно с уведомлением о доступном обновлении. Файл якобы скачивается автоматически. Пользователю предлагают следовать инструкциям по установке. Страница загрузки снова стилизована под Zoom, а сам файл носит имя "_zoommeeting_Zoom_installer_64_bit.exe.vbs". Большинство людей увидят только знакомое название Zoom и не обратят внимания на расширение VBS (Visual Basic Script - скриптовый язык Windows). Как сообщается в отчёте Cofense, этот VBS-файл выступает в роли лёгкого загрузчика. Внутри скрипта жёстко прописан URL-адрес (212.11.64[.]45), откуда загружается установщик MSI с именем ScreenConnect.ClientSetup.msi. Адрес содержит несколько упоминаний Zoom, что маскирует трафик под обычное обновление.
После выполнения VBS-скрипта установщик легитимного инструмента ConnectWise ScreenConnect сохраняется во временную папку пользователя ( %TEMP% ) и запускается скрытым окном через Windows Script Host. Пользователь не видит никаких признаков активности. Сам ScreenConnect - это официальный продукт для удалённого мониторинга и управления (RMM), широко применяемый в корпоративной среде. Вредонос в том, что злоумышленники используют его как точку входа. Установка такого инструмента даёт атакующим интерактивный доступ к системе, позволяя собирать учётные данные, проводить внутреннюю разведку, перемещаться между узлами сети и, при необходимости, загружать дополнительные вредоносные программы, включая программы-вымогатели.
Особенность данной атаки - это плавный переход от обмана через социальную инженерию к получению полного контроля. Вектор начинается с безобидного письма, затем идёт правдоподобная веб-страница, следом - реалистичный аудиофон, всплывающее "обновление" и, наконец, тихая установка легитимного удалённого агента. На каждом этапе жертва не видит явных признаков угрозы: приложения Zoom и ConnectWise ScreenConnect известны и доверяются системами безопасности. Сам вредоносный код, по сути, отсутствует - используется легитимное программное обеспечение, которое при корпоративном администрировании может быть даже разрешено политиками.
Подобные кампании показывают, что фишинг перестал быть просто способом украсть пароль. Теперь это многоступенчатый процесс, нацеленный на закрепление в сети и незаметное проникновение в инфраструктуру. Организациям стоит обратить внимание на мониторинг установки RMM-решений, особенно на тех рабочих станциях, где их использование не предусмотрено ИТ-политикой. Быстрое выявление подозрительных процессов ScreenConnect, скачанных не через официальный источник, может предотвратить масштабную утечку данных или атаку с использованием программ-вымогателей. Эффективная защита требует не только блокирования писем с подозрительными ссылками, но и контроля за выполнением скриптов, появлением сомнительных установщиков и необычными подключениями к внешним узлам.
Индикаторы компрометации
IPv4
- 104.21.56.35
- 172.67.176.105
- 212.11.64.45
URLs
- http://212.11.64.45/
- http://212.11.64.45/Bin/ScreenConnect.ClientSetup.msi?e=Access&y=Guest&c=zoom%20link&c=zoom&c=&с=&c=&c=&c=&c=
- https://join-meeting-invite-id-567765.nasbv.site/
MD5
- 9562334dd9a47ec1239a8667ddc1f01c
- b677ceaabb0be3911d1d3c80b1f84899
SHA256
- 90247b84e192a582c5af8bc75c3a7611cc9621b4683a7ccb68901f4f22503e00
- b80d07610b81bddb3d7f30a207a2e134b559e06b8440598a926f3a9c1d439218
