Clic, Instalar, Comprometido: La Nueva Ola de Ataques Tematizados en Zoom

SOC Prime Team

Seguir

Clic, Instalar, Comprometido: La Nueva Ola de Ataques Tematizados en Zoom

Detection stack

AIDR
Alert
ETL
Query

Informe de Amenazas
Flujo de Ataque
Detecciones
Simulaciones

Resumen

Los actores de amenazas están explotando invitaciones falsas a reuniones de Zoom para entregar un descargador VBS malicioso que instala ConnectWise ScreenConnect, una aplicación legítima de acceso remoto. La carga útil de VBS descarga el MSI de ScreenConnect desde una infraestructura controlada por el atacante y lo lanza desde el TEMP directorio de la víctima. Después de que se instala la herramienta de acceso remoto, los atacantes obtienen acceso persistente al sistema, lo que permite el robo de credenciales, el reconocimiento y la entrega de malware adicional, como ransomware.

Investigación

Cofense identificó correos electrónicos de phishing que dirigieron a las víctimas a una página falsa de Zoom que les solicitaba instalar una actualización falsa. Esa actualización entregó un archivo VBS llamado _zoommeeting_Zoom_Installer_64_bit.exe.vbs, que contenía una URL codificada que apuntaba a una dirección IP maliciosa que alojaba el instalador ScreenConnect.ClientSetup.msi . Luego, el script ejecutó el MSI a través de Windows Script Host en una ventana oculta para evitar llamar la atención.

Mitigación

Las organizaciones deben desplegar controles de seguridad de correo electrónico que puedan detectar y bloquear señuelos de phishing temáticos de Zoom, requerir autenticación multifactor para herramientas de acceso remoto y restringir la ejecución de scripts VBS desde directorios escribibles por usuarios. Los defensores también deben monitorear el tráfico de red para detectar comunicaciones con dominios y IPs maliciosos conocidos y aplicar listas de permisos de aplicaciones para controlar el software legítimo de administración remota.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el punto final afectado, elimine el archivo VBS malicioso y cualquier componente de ScreenConnect instalado, y restablezca las credenciales comprometidas. Los investigadores deben luego realizar un análisis forense para determinar si se desplegó malware adicional o si se exfiltraron datos. Las políticas de acceso remoto también deben revisarse y fortalecerse, y el contenido de detección debe actualizarse con los indicadores de compromiso observados.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[«Acción – T1672 Suplantación de correo electrónico Descripción: El atacante envía un correo que parece provenir de una dirección legítima de Zoom.»] class action_email_spoof action action_phishing[«Acción – T1566 Phishing Descripción: El correo contiene un enlace malicioso a una página falsa de reunión de Zoom.»] class action_phishing action action_user_exec_link[«Acción – T1204.001 Ejecución de usuario: enlace malicioso Descripción: La víctima hace clic en el enlace y es redirigida a una página clonada de Zoom.»] class action_user_exec_link action action_masquerade_file[«Acción – T1036.008 Mascaramiento: tipo de archivo Descripción: La página solicita descargar un script VBS disfrazado de instalador de Zoom.»] class action_masquerade_file action action_user_exec_vbs[«Acción – T1204 Ejecución de usuario Descripción: La víctima ejecuta el archivo VBS que actúa como descargador.»] class action_user_exec_vbs action action_download_rat[«Acción – T1219 Herramientas de acceso remoto Descripción: El VBS instala el cliente ConnectWise ScreenConnect.»] class action_download_rat action action_persistence[«Acción – T1133 Servicios remotos externos Descripción: ScreenConnect se registra como servicio de Windows para acceso persistente.»] class action_persistence action tool_vbs[«Herramienta – Zoom_Installer_64_bit.exe.vbs Descripción: Script VBS usado para descargar cargas adicionales.»] class tool_vbs tool tool_screenconnect[«Herramienta – Cliente ConnectWise ScreenConnect Descripción: Software de acceso remoto.»] class tool_screenconnect tool process_download[«Proceso – Descarga de MSI de ScreenConnect Descripción: Descarga del archivo ScreenConnect.ClientSetup.msi.»] class process_download process action_email_spoof –>|lleva_a| action_phishing action_phishing –>|lleva_a| action_user_exec_link action_user_exec_link –>|lleva_a| action_masquerade_file action_masquerade_file –>|lleva_a| action_user_exec_vbs action_user_exec_vbs –>|usa| tool_vbs tool_vbs –>|descarga| process_download process_download –>|instala| tool_screenconnect tool_screenconnect –>|habilita| action_download_rat action_download_rat –>|proporciona| action_persistence

Flujo de Ataque

Narrativa de Ataque y Comandos

Entrega Inicial: La víctima recibe un correo electrónico de phishing titulado “Zoom Meeting – Install Update”. El adjunto es un script VBS llamado _zoommeeting_Zoom_installer_64_bit.exe.vbs.
Ejecución: El usuario hace doble clic en el archivo VBS, que invoca cscript.exe para ejecutar el script. El script deja caer dos cargas útiles en %TEMP%:
- instalador ScreenConnect.ClientSetup.msi – el instalador de la Herramienta de Acceso Remoto malicioso.
- Una puerta trasera secundaria de PowerShell (no parte de esta regla).
Instalación: El script VBS lanza silenciosamente msiexec.exe para instalar el instalador ScreenConnect.ClientSetup.msi con /quiet. Esto crea un nuevo evento de creación de proceso cuyo Imagen termina con instalador ScreenConnect.ClientSetup.msi, satisfaciendo la condición de la regla.

Script de Prueba de Regresión

# --------------------------------------------------------------
#  Script de Simulación – Activa "ScreenConnect.ClientSetup.msi"
#  y "_zoommeeting_Zoom_installer_64_bit.exe.vbs" detecciones
# --------------------------------------------------------------

# 1. Prepare las cargas útiles (en una prueba real estos serían los archivos maliciosos)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Archivos ficticios para emular los nombres maliciosos (se pueden agregar hashes más tarde)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Crea archivos marcadores vacíos (reemplazar con cargas útiles reales para prueba en vivo)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – escribe el MSI en el disco y lo lanza
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Ejecuta el dropper VBS (esto a su vez lanzará msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulación ejecutada – la detección debería activarse ahora." -ForegroundColor Green

Comandos de Limpieza

# --------------------------------------------------------------
#  Limpieza – elimina los artefactos creados por la simulación
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Deten cualquier proceso msiexec persistente iniciado por la prueba
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Elimina archivos y directorio temporales
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Limpieza completa." -ForegroundColor Yellow

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis