Новая мошенническая схема с поддельными встречами в Zoom незаметно устанавливает шпионское ПО на ПК сотрудников. Исследователи Malwarebytes предупреждают: жертвы попадают на имитацию звонка, после чего автоматически загружается вредоносный установщик. — csoonline.com
Последняя мошенническая схема с поддельными встречами в Zoom незаметно устанавливает шпионское ПО на компьютеры сотрудников под управлением Windows, которые не подозревают о происходящем.
Об этом сообщают исследователи Malwarebytes, предупреждая, что сотрудники, попавшиеся на эту уловку, оказываются в убедительной имитации видеозвонка Zoom. Через мгновение автоматический обратный отсчет «Доступно обновление» загружает вредоносный установщик без запроса разрешения.
Устанавливаемое ПО представляет собой скрытую сборку Teramind — коммерческого инструмента мониторинга, который компании используют для записи действий сотрудников на рабочих компьютерах. Многие антивирусные решения могут не обнаружить это ПО, поскольку оно выглядит как легитимное приложение. Но в руках злоумышленника это золото: оно регистрирует нажатия клавиш, делает снимки экрана через регулярные промежутки времени, записывает посещенные веб-сайты и открытые приложения, захватывает содержимое буфера обмена и отслеживает активность электронной почты и файлов.
Zoom давно является сервисом, который злоумышленники пытаются использовать в своих интересах, поскольку сотрудники привыкли получать приглашения присоединиться к встрече от коллег, руководителей и клиентов.
Мошенничество с поддельными встречами в Zoom обычно начинается с фишинговых электронных писем или текстовых сообщений, поэтому первой линией обороны, которую должны развернуть руководители по безопасности (CSO), является обучение сотрудников основам кибербезопасности.
«Пять секунд, потраченные на проверку того, что ссылка на встречу действительно ведет на zoom.us [а не на поддельную ссылку], — это простая привычка, которая может предотвратить серьезную проблему», — советуют в Malwarebytes. Поддельный веб-сайт, на который перенаправляют жертв в этой кампании, — это uswebzoomus[.]com/zoom/
Роджер Граймс, советник по вопросам информационной безопасности в KnowBe4, поставщике услуг обучения осведомленности, сообщил, что видел множество вредоносных звонков Zoom, начинавшихся с приглашений на встречи как в Gmail, так и в Microsoft Outlook. Фактически, ранее в этом месяце он получил одно, которое автоматически добавилось в его онлайн-календарь. Как и большинство фишинговых приманок, уведомление в календаре имело броскую тему: «Окончательное уведомление: Требуется подтверждение расчета заработной платы: Встреча с…»
Одним из ключевых признаков возможной фишинговой приманки является тема письма, требующая быстрых действий, чтобы, как надеются злоумышленники, получатель не успел задуматься перед нажатием. Еще один намек на то, что это, вероятно, подделка: оно пришло в воскресенье днем.
Сотрудников необходимо обучать не доверять неожиданным приглашениям в календарь или встречам в Zoom, особенно если они содержат неизвестные имена и адреса электронной почты, сказал он.
«Способ избежать 99% мошенничеств — это проявлять крайний скептицизм по отношению к любому неожиданному входящему сообщению с просьбой сделать то, чего вы никогда раньше не делали (например, установить новое программное обеспечение во время встречи)», — сказал он. «Если вы получаете сообщение или приглашение, содержащее эти два признака (они неожиданны и требуют от вас сделать то, чего вы никогда раньше не делали), изучите его с помощью надежного источника вне самого сообщения, прежде чем выполнять запрошенные действия».
Дэвид Шипли, генеральный директор Beauceron Security, поставщика услуг обучения осведомленности, согласился, что обучение сотрудников по поводу поддельных приглашений в Zoom имеет решающее значение.
«Наше исследование показало, что две основные причины, по которым люди нажимают на фишинговые ссылки, заключаются в том, что ссылка выглядела легитимной, и они ожидали чего-то подобного», — сказал он. «Благодаря ИИ фишинговые письма выглядят лучше, чем когда-либо, и могут быть более точно нацелены».
Ключевой момент в обучении людей заключается не только в предоставлении традиционных советов о проверке отправителя, темы или ссылки, добавил он; 40% людей даже не задумываются, прежде чем нажать.
«Главное — научить людей замедляться при работе с электронной почтой (или любым другим средством связи, через которое внешний мир может отправлять сообщения) и всегда задавать следующие вопросы: «Знаю ли я, кто мне это присылает? Ожидаю ли я этого от этого человека? Кажется ли это странным?»»
Второй важный момент в обучении, по его словам, — это напоминать сотрудникам сообщать, если после нажатия на приглашение в Zoom что-то происходит новое, например, установка программного обеспечения.
Предупреждения о поддельных приглашениях в Zoom широко распространены и поступают из многих источников: от поставщиков решений по безопасности до Ассоциации риелторов Пенсильвании. В октябре прошлого года ассоциация предупредила, что так называемые потенциальные покупатели нацеливаются на агентов с объявлениями на Multiple Listing Service (MLS), Realtor.com и Zillow, проявляя интерес к объекту недвижимости. Перед подачей предложения потенциальный клиент настаивает на проведении встречи в Zoom для обсуждения объекта с агентом. Мошенник отправляет ссылку Zoom, но когда агент на нее нажимает, на его компьютер или телефон устанавливается вредоносное ПО.
Аналогичным образом, прошлым летом Университет Буффало предупреждал студентов и сотрудников о том, что хакеры рассылают поддельные ссылки-приглашения в Zoom на учетные записи UBmail с целью установки вредоносного ПО.
А сама компания Zoom публиковала в блоге информацию о том, как избежать попадания на удочку мошенников, предлагающих работу.
Связанный материал: 7 способов сделать ваши встречи в Zoom более безопасными
Как это происходит
Malwarebytes не объяснила, как инициируется конкретная кампания, о которой сообщается в блоге. Но если жертва принимает приглашение на встречу и переходит на поддельный сайт, она попадает в нечто, похожее на зал ожидания Zoom. В то же время сайт незаметно отправляет сообщение атакующим, сообщая им, что кто-то вошел.
Три запрограммированных поддельных участника — «Мэттью Карлссон», «Джеймс Уитмор» и «Сара Чен» — появляются в звонке один за другим, каждый из которых сопровождается правдоподобным звуковым сигналом присоединения Zoom. Но их аудиозапись разговора зацикливается в фоновом режиме. Ничего больше не происходит, если только жертва не попытается взаимодействовать. Затем поверх основного видеополя появляется постоянное предупреждение «Проблема с сетью», по-видимому, чтобы объяснить прерывистый звук и запаздывающее видео. Когда через мгновение появляется запрос «Доступно обновление», Malwarebytes утверждает, что это выглядит как исправление проблемы.
В этот момент есть один шанс остановить атаку: жертва должна нажать на загрузку, чтобы установка продолжилась. Многие сотрудники сделают это, поскольку это кажется естественным шагом, говорит Стефан Дасич, менеджер по исследованиям и реагированию Malwarebytes. Именно поэтому важно, чтобы сотрудники были обучены никогда не обновлять Zoom по ссылке из сообщения. Обновления должны поступать только через функцию обновления Zoom внутри самого приложения.
Если жертва нажимает на загрузку, появляется всплывающее окно без кнопки закрытия с текстом: «Доступно обновление — доступна новая версия для загрузки». Вращается индикатор, и счетчик отсчитывает от пяти до нуля; когда счетчик достигает нуля, браузеру дается команда незаметно загрузить файл. В тот же момент страница переключается на то, что выглядит как Microsoft Store, показывая «Zoom Workplace» в процессе установки, со спиннером и всем остальным. Пока посетитель наблюдает за тем, как, по-видимому, легитимная установка решает проблему, настоящий установщик со шпионским ПО уже оказался в папке «Загрузки» без запроса разрешения и компрометирует его систему. Установщик содержит код, предотвращающий его анализ антивирусными решениями.
«Злоумышленники не писали собственное вредоносное ПО», — отмечается в блоге. «Они использовали профессионально разработанный коммерческий продукт, который спроектирован для надежной работы и сохранения работоспособности после перезагрузок. Это делает его более устойчивым, чем многие традиционные штаммы вредоносного ПО».
Эта кампания не полагается на техническую изощренность, добавляет блог. «Не использовалось никаких новых хакерских техник. Злоумышленник создал убедительную поддельную страницу Zoom, настроил автоматическую загрузку, которая срабатывает до того, как у посетителя появится повод заподозрить что-либо, и использовал экран поддельного Microsoft Store, чтобы все объяснить. От клика до установки проходит менее тридцати секунд. Человек, ожидавший приглашения в Zoom и видевший нечто похожее на запущенную установку Microsoft, мог легко уйти, полагая, что ничего необычного не произошло».
Malwarebytes советует руководителям по информационной безопасности, узнав, что сотрудник посетил сайт uswebzoomus, считать его компьютер скомпрометированным.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon