СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
1 июня
#ИБ

Zoom-ловушка и тайпсквоттинг: новая схема скрытого доступа

Недавние наблюдения показали сложную вредоносную campaign, в которой злоумышленники используют доверие к Zoom, legitimate tools и обманные домены для распространения malicious software. В отличие от простых атак формата «download and execute», эта операция выстроена как многоступенчатая схема social engineering, рассчитанная на эксплуатацию привычек пользователей и доверия к знакомым online-платформам.

Как работает атака

Атака начинается с приманки, имитирующей уже идущую Zoom meeting. Пользователю показывают вводящие в заблуждение уведомления об обновлении Zoom client, после чего его перенаправляют на загрузку файла ZoomWorkplaceSetup.exe. На деле этот файл оказывается агентом Zoho Assist Unattended.

Такой подход позволяет злоумышленникам получить persistent remote access к заражённым системам. Инструмент поддерживает работу на нескольких operating systems, включая Windows, macOS, Linux и Android, что делает кампанию особенно опасной: после первоначального заражения атакующие могут сохранять контроль над устройствами жертв длительное время.

Typosquatting и имперсонация бренда

Ключевой элемент campaign — домен ceda-rock.com, зарегистрированный незадолго до атаки. Он заметно похож на legitimate domain cedarock.com, что указывает на использование техники typosquatting и brand impersonation.

Злоумышленники дополнительно связали свой домен с website и соответствующими social media accounts, повышая уровень доверия к инфраструктуре атаки. Такая связка делает вредоносную схему внешне более убедительной и снижает вероятность немедленного подозрения со стороны пользователей.

Почему схема остаётся эффективной

Использование Zoho Meeting в качестве delivery mechanism помогает злоумышленникам обходить detection. Средства защиты нередко классифицируют такие инструменты как benign, поскольку они сами по себе широко применяются в бизнес-среде.

Именно поэтому атака выглядит особенно опасной: вместо прямого внедрения сложного malware злоумышленники опираются на манипуляцию доверием и привычными рабочими сценариями. Это заметный сдвиг от традиционных техник, где успех достигается только за счёт технической скрытности вредоносного кода.

Рекомендации по снижению риска

Для защиты от подобных угроз организациям рекомендуется:

  • блокировать недавно зарегистрированные domains;
  • усиливать контроль application whitelisting;
  • обучать пользователей тактикам social engineering, связанным с online-meetings;
  • развивать external monitoring не только для выявления malware, но и для обнаружения deceptive practices, способных привести к компрометации безопасности.

Вывод

Эта campaign показывает, что злоумышленники всё чаще отходят от прямой зависимости от advanced malware и делают ставку на эксплуатацию доверия. В результате доверенные бренды, привычные сервисы и правдоподобная инфраструктура становятся не просто маскировкой, а центральным инструментом атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: