Zoom: Click, Install, Compromised
A Cofense kutatása szerint új hulláma jelent meg a Zoom-tematikájú phishing és malware-kampányoknak, amelyek már nem klasszikus fertőzési módszerekkel dolgoznak, hanem ClickFix és hamis frissítési technikákat használnak. A támadók megtévesztően valósághű Zoom meeting oldalakat készítenek, ahol a felhasználók egy állítólagos kötelező Zoom-frissítés telepítésére kapnak felszólítást.
A fertőzési lánc pszichológiai manipulációra épül. A hamis meetingoldalak szándékosan hibás videóhívást, akadozó hangot vagy Network Issue üzeneteket jelenítenek meg, majd röviddel később automatikusan felkínálnak egy frissítést. A felhasználó így azt hiheti, hogy a probléma megoldásához valódi Zoom update szükséges.
A letöltött payloadok sok esetben nem klasszikus malware-ek, hanem legitim, digitálisan aláírt RMM (Remote Monitoring and Management) eszközök, például ScreenConnect, Datto RMM vagy LogMeIn komponensek. Ezekkel a támadók teljes távoli hozzáférést szerezhetnek a fertőzött gépekhez, miközben a forgalom és a futó folyamatok legitim adminisztrációs tevékenységnek tűnhetnek.
A modern támadások egyre inkább a felhasználói bizalom manipulálására és legitim eszközök visszaélésére épülnek, nem pedig kifinomult exploitokra. A védekezés kulcsa a felhasználói tudatosság, a meeting linkek ellenőrzése, valamint a nem engedélyezett RMM-eszközök és szokatlan Zoom-frissítések monitorozása lehet.
