СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:26
#ИБ

Фишинговая кампания: поддельные Zoom и Google Meet распространяют Teramind

Недавний анализ выявил продолжающуюся киберкампанию, в которой злоумышленники используют поддельные страницы популярных сервисов для бесконтрольной установки легального ПО для мониторинга — Teramind. Первое зафиксированное событие датируется февралем 2026 года; с тех пор схема эволюционировала и охватила новые варианты социальной инженерии.

Краткое содержание инцидента

  • Атака началась с фишинговой страницы, имитирующей зал ожидания Zoom, побуждавшей пользователей загрузить установщик Teramind без их согласия.
  • Позже был зафиксирован вариант, маскирующийся под Google Meet — это мошенническая страница Microsoft Store, обозначенная как «Google Meet для встреч».
  • Установщик доставляется через серверную часть на PHP в виде MSI-файла, распространяемого из инфраструктуры злоумышленников.
  • Оба варианта используют один и тот же базовый двоичный файл, отличающийся лишь именем файла; общая идентификация через хэш MD5 указывает на единое вредоносное приложение, переименованное для разных доменов.

Техника распространения и маскировка

Злоумышленники применяют продуманные методы социальной инженерии и визуальную имитацию легальных сервисов: поддельные регистрации доменов, вводящий в заблуждение дизайн страниц и упаковка установщика под вид популярных приложений. Вариант для Zoom использовал веб-сервер Apache, тогда как схема под Google Meet работала на LiteSpeed. Это свидетельствует о стратегической избыточности инфраструктуры, позволяющей переключаться между платформами и снижать риск полного блокирования кампании.

Ключевые технические особенности

  • Единый двоичный файл: один и тот же исполняемый файл распространяется под разными именами; общий MD5 указывает на одну вредоносную сборку.
  • Доставка через PHP: серверная логика формирует и отдает MSI-пакет прямо из инфраструктуры злоумышленника.
  • Динамическая конфигурация C2: установщик умеет извлекать идентификатор из имени файла и на его основе настраивать параметры управления (C2), что обеспечивает масштабируемость и индивидуальную конфигурацию экземпляров.
  • Проверки целевой среды: вредоносное ПО ищет существующие установки Teramind и тестирует параметры, выполняя пробное подключение к предопределенному серверу C2 почти сразу после инсталляции.
  • Маскировка под сервисы Windows: в целях усложнения обнаружения компоненты получают имена, похожие на легитимные службы Windows.
  • Туннелирование через SOCKS5: коммуникация с C2 может идти через прокси SOCKS5, что скрывает характер трафика и облегчает эксфильтрацию данных.

Почему это опасно

Хотя Teramind как компания отрицает причастность к злоупотреблениям, несанкционированное использование легального ПО для организованного наблюдения представляет серьезную угрозу для приватности и безопасности как отдельных пользователей, так и организаций. Основные риски:

  • удаленый мониторинг и сбор конфиденциальных данных;
  • скрытое присутствие вредоносного ПО под видом легитимных приложений и служб;
  • скорое установление канала управления (C2) сразу после инсталляции;
  • возможность обхода сетевых средств защиты благодаря прокси и туннелированию.

Рекомендации по защите

  • Не скачивайте установщики с непроверенных страниц — используйте официальные источники и прямые ссылки от производителя.
  • Проверяйте цифровые подписи и целостность инсталляторов; обращайте внимание на несоответствия в именах файлов и брендинге.
  • Мониторьте необычные попытки установки ПО и немедленно исследуйте процессы, которые устанавливают сетевые соединения сразу после инсталляции.
  • Ограничьте возможность установки MSI-пакетов через групповую политику и контролируйте запуск служб, имитирующих системные компоненты.
  • Настройте сетевые правила для обнаружения и блокировки подозрительных соединений, включая использование прокси SOCKS5.

Заключение

Атака демонстрирует опасную тенденцию: злоумышленники все чаще используют легальное ПО в злонамеренных целях, комбинируя продвинутую социальную инженерию и гибкую инфраструктуру доставки. «Teramind отрицает какую-либо связь с этими действиями», однако факт несанкционированного использования продукта требует повышенной бдительности со стороны организаций и конечных пользователей. В ближайшее время важно усилить контроль источников ПО и сетевых коммуникаций, а также оперативно реагировать на подозрительные установки и попытки установления C2-соединений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: