СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.08.2025
#ИБ#ИИ#Инфра

ZoomClickFIX: StardustChollima (BlueNoroff) крадет аккаунты Telegram через фишинг

ZoomClickFIX: StardustChollima (BlueNoroff) крадет аккаунты Telegram через фишинг

Источник: mp.weixin.qq.com

Коротко: группа, действующая под именами StardustChollima и BlueNoroff, использует новую фишинговую методику под названием ZoomClickFIX, направленную на кражу учетных записей Telegram (TG) и распространение вредоносного ПО под видом исправлений для Zoom. Атака сочетает в себе подмену URL и элементы социальной инженерии, что повышает вероятность успешной компрометации пользователей.

Что произошло

Злоумышленники рассылают или публикуют ссылку на кажущуюся легитимной встречу Zoom. На первый взгляд URL выглядит корректным — например:

hxxps://reforge.zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt

Однако при переходе пользователь перенаправляется на замаскированный адрес, где оригинальный домен подменён, а далее пользователю предлагают «исправление» для Zoom, которое на самом деле запускает загрузку вредоносного ПО.

При переходе по этой мошеннической ссылке пользователи сталкиваются с сообщением, указывающим на то, что Zoom не может работать корректно и что им необходимо выполнить определенные инструкции по ремонту.

Механика атаки (ZoomClickFIX)

  • Атака начинается с релевантной и правдоподобной ссылки на встречу Zoom.
  • При клике происходит редирект на поддельный хост, визуально сохраняющий остальные элементы URL, но меняющий домен.
  • Пользователю показывают страницу с инструкциями «по ремонту» клиента Zoom и предлагают скачать файл.
  • Скачиваемый файл является вредоносным ПО, которое может похищать учетные данные, в том числе для Telegram, либо устанавливать другие бекдоры и средства удалённого контроля.

Технические индикаторы (IoC)

  • Исходный, выглядящий легитимно URL: hxxps://reforge.zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt
  • Замаскированный URL после редиректа: hxxps://reforge.web05zoom.us/j/2721598407?pwd=hblaw88iAFZz37obAHYBTNmHuikirt
  • Ссылка на загрузку вредоносного ПО: hxxp://web21zoom.us/audio/fix/2721598407

Важно: используемые домены — web05zoom.us и web21zoom.us — имитируют официальный сервис, но не имеют отношения к Zoom.

Почему это работает: социальная инженерия и доверие

Атака эксплуатирует несколько человеческих факторов:

  • Доверие к популярному бренду (Zoom) и привычку клика по приглашениям на встречи;
  • Ожидание, что «ремонтные» инструкции от имени сервиса безопасны;
  • Невнимательность к доменному имени в URL — редирект сохраняет видимую структуру ссылки и подменяет только домен.

Риски и возможные последствия

  • Кража учетных записей Telegram и последующее использование аккаунтов для мошенничества или компрометации контактов.
  • Установка бэкдоров, утечка конфиденциальных данных, персистентный доступ к устройствам.
  • Распространение вредоносного ПО внутри корпоративной сети при открытии зараженных файлов на рабочих машинах.

Рекомендации по защите

  • Не запускать скачанные файлы и не выполнять инструкции с неизвестных или сомнительных доменов.
  • Проверять доменное имя в URL — официальный домен Zoom: zoom.us. Любые вариации (web05zoom.us, web21zoom.us и т.п.) следует рассматривать как подозрительные.
  • Использовать многофакторную аутентификацию (MFA) для Telegram и других критичных сервисов.
  • Внедрить фильтрацию URL и блокировку подозрительных доменов на уровне почты и прокси/файрвола.
  • Проводить регулярное обучение сотрудников по распознаванию фишинга и проверке ссылок.
  • Обновлять Zoom и другое ПО только через официальные каналы и снапшоты поставщика.
  • Использовать EDR/AV решения, способные выявлять загрузку и запуск неизвестных бинарных файлов.

Вывод

Метод ZoomClickFIX — типичный пример того, как злоумышленники комбинируют технические приёмы (редиректы и доменную подмену) с социальной инженерией для повышения успешности фишинговых атак. Группы вроде StardustChollima / BlueNoroff целенаправленно ориентируются на распространённые сервисы и привычки пользователей. Для снижения рисков необходима комбинация технических мер, политик безопасности и регулярного обучения пользователей. Только комплексный подход позволит эффективно противостоять подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: