Zoom meeting kártékony kóddal
A Malwarebytes egy rendkívül megtévesztő online csalás lényegét írja le, amely egy hamis Zoom meeting weboldalon keresztül próbál személyes számítógépekre rejtett megfigyelő-szoftvert telepíteni. A támadás úgy indul, hogy az áldozat egy emailből vagy üzenetből egy linkre kattint, ami egy uswebzoomus[.]com/zoom/ címre viszi, és látszólag egy Zoom-termet jelenít meg, ahol három résztvevő érkezését mutatja, majd egy előre programozott Update Available felbukkanó ablak tíz másodperc után letölt egy fájlt anélkül, hogy a felhasználó engedélyt adna erre. Ez az üzenet egy megszokott szoftver-frissítésnek tűnik, de valójában egy kártékony telepítőt szerez be és helyez el a gépen.
A letöltött frissítő nem a Zoom szoftveréhez tartozik, hanem egy komoly, kereskedelmi megfigyelő-eszköz, a Teramind egy háttér-telepítője. A Teramind eredetileg vállalati célokra készült, hogy munkavállalók monitorozását végezze képernyő- és billentyűzet-naplózással, böngészési és alkalmazáshasználati adatok gyűjtésével, de itt a felhasználó tudta és beleegyezése nélkül kerül telepítésre, és úgy fut a háttérben, hogy sem ikon, sem más vizuális nyom nem utal rá. A telepítő maga úgy van konfigurálva, hogy a támadó álatlirányított szerverhez csatlakozzon, így minden tevékenységet elküld az azt üzemeltető félnek.
A csalás különösen alattomos azért, mert a weboldal és a folyamat úgy van megtervezve, hogy átverje a szokásos biztonsági eszközöket és a felhasználókat is, a hamis Microsoft Store-szerű telepítési képernyő és a frissítési értesítés hitelesnek tűnik, miközben a valódi háttérletöltés már megtörtént. A telepítő saját IP-ellenőrzést és stealth módot is használ, így nehezebben észlelhető a hagyományos sandbox-elemzések által, és a kész szoftver nem hagy nyilvánvaló telepítési nyomokat a rendszerben.
