Lažni Zoom i Google Meet pozivi instaliraju špijunski softver na Windows računarima

Istraživači kompanije Malwarebytes upozorili su na novu phishing kampanju koja zloupotrebljava popularne platforme za video-konferencije poput Zoom i Google Meet kako bi prevarila korisnike i navela ih da instaliraju softver za nadzor na Windows računarima.

Prema njihovim nalazima, napadači koriste legitimni alat za nadzor zaposlenih Teramind i predstavljaju ga kao obavezno ažuriranje potrebno za pristup video sastanku. Iako je Teramind legalna platforma koju kompanije koriste za praćenje aktivnosti na službenim uređajima, u ovoj kampanji se koristi u zlonamjerne svrhe.

 

Lažni pozivi na sastanke i uvjerljiva simulacija

 

Napad obično počinje linkom koji izgleda kao pozivnica za sastanak na Zoomu. Kada korisnik klikne na link, otvara se web stranica koja veoma vjerno imitira takozvanu “waiting room” (čekaonicu) prije početka sastanka.

Na stranici se prikazuju imena učesnika, a čuju se i zvučni signali koji simuliraju ulazak novih učesnika u poziv. Takvi detalji stvaraju utisak da je riječ o stvarnom sastanku, što povećava vjerovatnoću da će korisnik povjerovati stranici.

Nakon kratkog vremena pojavljuje se obavještenje o navodnim problemima s mrežom. Stranica namjerno prikazuje sporo učitavanje i status “network problem”, kako bi korisnika uvjerila da je potrebno dodatno ažuriranje aplikacije.

 

Lažno ažuriranje pokreće instalaciju

 

Poslije kratkog odbrojavanja pojavljuje se poruka da je za pokretanje sastanka potrebno instalirati ažuriranje. Kada tajmer istekne, instalaciona datoteka se automatski preuzima na računar.

Istovremeno se na ekranu prikazuje lažni prikaz instalacije aplikacije Zoom Workplace iz Microsoft Store. Dok korisnik posmatra navodni proces instalacije, stvarni zlonamjerni program se već instalira u pozadini.

 

Špijunski softver koji radi neprimjetno

 

Istraživači navode da instalacioni paket može sadržavati modifikovanu verziju Teramind agenta koja je podešena da radi u takozvanom “stealth” režimu. U tom režimu softver nema vidljive ikone, obavještenja niti druge znakove koji bi korisniku otkrili njegovo prisustvo.

Jednom kada se instalira, softver može prikupljati veliku količinu podataka sa računara, uključujući:

• sve pritiske na tastaturi (keystrokes)
• snimke ekrana u određenim intervalima
• historiju pregledanja interneta
• sadržaj clipboarda (kopiranog teksta i datoteka)
• podatke o pokrenutim aplikacijama i fajlovima

U nekim slučajevima moguće je i praćenje aktivnosti u realnom vremenu, što napadačima daje detaljan uvid u rad korisnika na računaru.

 

Moguć daljinski pristup zaraženom računaru

 

Stručnjaci iz Malwarebytesa upozoravaju i da instalaciona datoteka može uspostaviti vezu sa serverskom infrastrukturom koju kontrolišu napadači. Na taj način napadači mogu dobiti daljinski pristup kompromitovanom sistemu i kontinuirano pratiti sve aktivnosti na uređaju.

Ovakve kampanje postale su sve češće jer napadači koriste popularne poslovne alate i svakodnevne digitalne navike korisnika kako bi povećali uspješnost napada.

 

Kako se zaštititi

 

Sigurnosni stručnjaci savjetuju nekoliko osnovnih mjera zaštite:

• ne otvarati linkove za sastanke iz sumnjivih ili neočekivanih e-mailova
• koristiti samo zvanične aplikacije za Zoom i Google Meet
• nikada ne preuzimati “ažuriranja” sa web stranica koje se pojave tokom sastanka
• redovno ažurirati operativni sistem i antivirusni softver

Stručnjaci naglašavaju da su phishing kampanje sve sofisticiranije i da često koriste veoma uvjerljive vizuelne imitacije legitimnih servisa, zbog čega je dodatni oprez korisnika ključan za zaštitu podataka i uređaja.