La più recente analisi pubblicata da Malwarebytes descrive una campagna di social engineering mirata agli utenti di Zoom e Google Meet che dimostra quanto sia cambiato il panorama delle minacce.
Gli attaccanti non distribuiscono un malware tradizionale ma sfruttano un software commerciale autentico per finalità di sorveglianza nascosta.
La campagna utilizzerebbe false pagine di riunione che imitano servizi di videoconferenza ampiamente diffusi, trasformando un normale strumento di monitoraggio aziendale in un subdolo vettore di compromissione.
Indice degli argomenti
Phishing su Zoom e Meet: l’inganno delle finte riunioni online
Le vittime ricevono un invito a partecipare a una riunione apparentemente ospitata su Zoom oppure su Google Meet. Ma il collegamento incluso nel messaggio conduce invece a domini contraffatti che riproducono fedelmente grafica, loghi e flussi di navigazione delle piattaforme originali.
Come riportato dai ricercatori di Malwarebytes la pagina web riprodurrebbe in modo realistico una sala d’attesa per la videoconferenza, completa di nomi dei partecipanti. Verrebbe solo dopo inscenato un problema di connessione, con interruzioni audio e un messaggio di errore persistente accompagnato da un avviso a tempo che richiede un aggiornamento per risolvere il malfunzionamento, rafforzando il senso di urgenza.
Una volta scaduto il contatore temporale, il file di installazione verrebbe scaricato ed eseguito automaticamente, mentre il sito web con una falsa schermata di Microsoft Store mostrerebbe all’utente quella che sembra essere l’installazione di Zoom o Google Meet.
Configurazione e ruolo dell’installer
In pratica, l’elemento centrale dell’operazione sarebbe un pacchetto Windows MSI che, una volta eseguito, installa l’agente di Teramind (una piattaforma legittima di monitoraggio, normalmente utilizzata dalle aziende per tracciare le attività sui dispositivi aziendali) con un identificatore che consente agli attaccanti di associare l’endpoint compromesso a una specifica istanza di controllo.
Durante l’installazione verrebbero, quindi, eseguite diverse azioni personalizzate. Il programma dapprima verifica la connettività verso i server remoti e controlla l’eventuale presenza di installazioni precedenti, dopo configura i parametri necessari alla registrazione dell’endpoint presso la console di gestione operando con privilegi elevati.
L’aspetto più rilevante sarebbe, infine, l’attivazione della modalità stealth di Teramind che consente al software di operare senza mostrare icone o notifiche visibili all’utente. In questo modo l’agente potrebbe raccogliere dati senza generare segnali evidenti di compromissione.
La configurazione prevederebbe, inoltre, meccanismi di riavvio automatico in caso di errore o interruzione del servizio, aumentando la resilienza della compromissione e rendendo più complessa la stessa rimozione manuale.
Strategie di difesa possibili
La combinazione di controllo tecnico e formazione degli utenti rappresenta la risposta più efficace a campagne che, come questa, sfruttano la fiducia riposta in strumenti legittimi per trasformarla in un vettore di intrusione silenziosa.
Pertanto, in primo luogo risulta fondamentale rafforzare la consapevolezza degli utenti. Dal punto di vista tecnico, invece le organizzazioni dovrebbero limitare l’installazione di pacchetti MSI solo a software approvati tramite policy accurate.
È inoltre opportuno mantenere un inventario aggiornato degli agenti autorizzati presenti sugli endpoint, in modo da rilevare rapidamente eventuali installazioni non previste. Infine, l’analisi dei log di sistema e del traffico di rete può aiutare a rivelare connessioni verso console di gestione remote inattese.
Considerazioni finali
Questa campagna evidenzia una tendenza significativa nel panorama delle minacce. Invece di creare un malware complesso, gli attaccanti sfruttano un ecosistema esistente per ottenere monitoraggio continuo, registrazione delle attività e potenziale esfiltrazione di informazioni sensibili. Purtroppo, il rischio non si limita al singolo endpoint compromesso.
Un agente di monitoraggio installato con privilegi elevati può intercettare credenziali, documenti aziendali e comunicazioni interne e in contesti professionali questo tipo di compromissione può tradursi in perdita di proprietà intellettuale e in violazioni normative legate alla protezione dei dati.
