Рост сложных фишинговых атак через легальную почту Zoom Events

Разведывательный центр SOC зафиксировал значительное увеличение числа изощрённых фишинговых кампаний, использующих легальную инфраструктуру электронной почты Zoom Events. Эти атаки демонстрируют высокий уровень обхода стандартных мер безопасности за счёт сложных криптографических методов подписи, что делает их особенно опасными для конечных пользователей.

Как работают новые фишинговые кампании

Фишинговые письма рассылаются с адреса noreply-zoomevents@zoom.us и выглядят как подлинные сообщения благодаря корректной настройке SPF, DKIM и DMARC. В ходе атак используется двойной подход:

• Кража учетных данных через фишинговые страницы, имитирующие авторизацию Microsoft;
• Распространение вредоносных настольных приложений, замаскированных под ScreenConnect.

Письма содержат призывы «Просмотреть файл» или «Загрузить настольное приложение прямо сейчас» с основными ссылками, ведущими на адрес hxxps://docs.zoom.us/doc/. Эта ссылка перенаправляет пользователя либо на фишинговый сайт с промежуточной (AitM) страницей захвата учетных данных, либо запускает скачивание вредоносного исполняемого файла.

Механизм фишинга учетных данных

Метод фишинга выполняется по цепочке ложных ссылок:

1. Первая страница предлагает просмотреть документ, создавая видимость легитимности;
2. Далее пользователь сталкивается с поддельной CAPTCHA, которая отвлекает и задерживает;
3. В конечном итоге жертва попадает на фальшивую страницу входа в систему Microsoft, где вводит свои учетные данные, которые затем перехватываются злоумышленниками.

Темы и цели атак

Фишеры используют вводящие в заблуждение темы сообщений, которые имитируют:

• Срочные финансовые уведомления;
• Вопросы обмена файлами;
• Официальные правительственные уведомления.

Для усиления доверия злоумышленники выдают себя за представители:

• Управления социального обеспечения;
• Инвестиционных фирм;
• Других официальных учреждений.

Дизайн писем содержит ложные логотипы Microsoft Office и нижние колонтитулы с надписями «События масштабирования», сопровождаемые вводящими в заблуждение инструкциями по работе с будто бы «защищёнными» документами.

Рекомендации по безопасности

Для минимизации рисков экспертами SOC рекомендовано соблюдать следующие меры предосторожности:

• Не переходить по ссылкам и не загружать вложения из неожиданных писем, якобы относящихся к Zoom Events;
• Всегда независимо проверять подлинность подозрительных сообщений, связываясь с отправителем по известным каналам;
• Избегать прямых ответов на подозрительные email;
• Сообщать о любых необычных письмах через официальные каналы и системы электронной почты организации.

_Будьте внимательны и не позволяйте злоумышленникам использовать доверие к популярным сервисам в своих целях._

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.