Под видом обновления для Zoom: фишинговые атаки маскируются под видеоконференции

Атаки строятся на эксплуатации высокого уровня доверия к корпоративным коммуникациям. Жертвы получают письма со ссылками на фишинговые страницы, которые практически неотличимы от настоящих интерфейсов видеоконференций. Для большей убедительности на страницах отображаются списки «участников», которые якобы уже присоединились к встрече. Когда пользователь пытается войти в конференцию, система сообщает ему о необходимости обновить клиентское приложение. При этом предлагается скачать и запустить установочный файл.

Ключевой особенностью данной кампании является использование в качестве вредоносной нагрузки подписанных цифровыми сертификатами легальных инструментов для удалённого мониторинга и управления (Remote Monitoring and Management, RMM), таких как Datto RMM, LogMeIn или ScreenConnect. Файлы маскируются под установщики видеосервисов, получая имена вроде "GoogleMeeet.exe" или "ZoomWorkspaceinstallersetup.msi". Поскольку это коммерческое программное обеспечение, оно не распознаётся традиционными системами безопасности как вредоносное и может быть заранее разрешено в корпоративных сетях.

После установки такого RMM-агента злоумышленники получают неограниченный удалённый доступ к компьютеру. Они могут использовать встроенные функции этих инструментов, включая передачу файлов, удалённый командный интерфейс и просмотр экрана. Это позволяет незаметно собирать конфиденциальные данные, перемещаться по сети организации и находить наиболее ценные цели. Более того, поскольку RMM-системы предназначены для массового развёртывания ПО, атакующие могут использовать их же инфраструктуру для распространения более опасного вредоносного кода, например, программ-вымогателей (ransomware), по всей корпоративной среде.

Эксперты отмечают, что атака использует мощный психологический триггер - срочность участия в запланированной деловой встрече. Пользователи, опасаясь опоздать или пропустить важное обсуждение, с большей вероятностью вручную проигнорируют предупреждения системы безопасности для установки «критического обновления». Таким образом, злоумышленники обходят не только технические средства защиты, но и человеческий фактор.

Данная кампания демонстрирует растущую тенденцию киберпреступников к использованию легального программного обеспечения в атакующих целях. Этот подход, известный как «живи-за-счёт-земли» (Living-off-the-Land), значительно затрудняет обнаружение вторжения. Традиционные сигнатурные методы анализа часто бессильны против подписанных цифровыми сертификатами инструментов, которые не входят в чёрные списки. Следовательно, организациям необходимо усиливать защиту, делая акцент на поведенческом анализе, контроле привилегий и обучении сотрудников распознаванию подобных социально-инженерных уловок.

Исследователи Netskope продолжают отслеживать эти активные кампании и рекомендуют компаниям проявлять повышенную бдительность к неожиданным запросам на установку программного обеспечения, даже если они поступают в контексте привычных рабочих процессов, таких как подключение к видеоконференции.

URLs

• https://doyu.digital/us05Zoom4JqpH8/Windows/invite.php
• https://lankystocks.com/Zoom/Windows/invite.php
• https://spinalpaca.com/dropboxdocument/Windows/invite.php
• https://teams.manitosdemailen.cl/Interview/peer/invite.php
• https://us05meeting.ws/G/MEET/googlemeet-invite.php
• https://viewmyparty.com/Windows/invite.php
• https://web04zoom.im.web04zoomp.us/Windows/invite.php
• https://zoominvitemeetingsetup.vip.zoommeetingsetup.info/Windows/invite.php
• https://zoommeetingapplicant.com/Zoom/Windows/invite.php
• https://zoommeetingsapplicantinvite.com/Windows/invite.php
• https://zoommeetingsinvitees.com/Windows/invite.php
• https://zoom-meets.us/invite.php