SOC Prime Bias: Alto

19 May 2026 13:30 UTC
newspaper icon cofense.com

Clicca, Installa, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom

Author Photo
SOC Prime Team linkedin icon Segui
Clicca, Installa, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riepilogo

Gli attori delle minacce stanno sfruttando inviti a riunioni Zoom fasulli per distribuire un downloader VBS malevolo che installa ConnectWise ScreenConnect, un’applicazione legittima di accesso remoto. Il payload VBS scarica lo ScreenConnect MSI da un’infrastruttura controllata dagli attaccanti e lo avvia dalla directory TEMP della vittima. TEMP Dopo che lo strumento di accesso remoto è installato, gli attaccanti ottengono accesso persistente al sistema, consentendo il furto di credenziali, ricognizione e distribuzione di malware successivi come i ransomware.

Indagine

Cofense ha identificato email di phishing che indirizzavano le vittime a una falsa pagina Zoom invitandole ad installare un aggiornamento contraffatto. Tale aggiornamento ha distribuito un file VBS denominato _zoommeeting_Zoom_Installer_64_bit.exe.vbs, che conteneva un URL codificato verso un indirizzo IP malevolo che ospitava l’installer ScreenConnect.ClientSetup.msi . Lo script eseguiva quindi il file MSI tramite Windows Script Host in una finestra nascosta per evitare di attirare attenzione.

Mitigazione

Le organizzazioni dovrebbero implementare controlli di sicurezza email che possano rilevare e bloccare esche di phishing a tema Zoom, richiedere l’autenticazione multi-fattore per strumenti di accesso remoto e limitare l’esecuzione di script VBS da directory scrivibili dagli utenti. I difensori dovrebbero anche monitorare il traffico di rete per comunicazioni con domini e IP noti malevoli e applicare una lista di consentiti per controllare software legittimi di amministrazione remota.

Risposta

Se questa attività viene rilevata, isolare immediatamente l’endpoint compromesso, rimuovere il file VBS malevolo e qualsiasi componente ScreenConnect installato, e reimpostare le credenziali compromesse. Gli investigatori dovrebbero poi eseguire un’analisi forense per determinare se ulteriore malware sia stato distribuito o se dati siano stati esfiltrati. Le politiche di accesso remoto dovrebbero essere riviste e rafforzate, e i contenuti di rilevamento dovrebbero essere aggiornati con gli indicatori di compromesso osservati.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[“<b>Azione</b> – <b>T1672 spoofing email</b><br/><b>Descrizione</b>: L’attaccante invia un’email che sembra provenire da Zoom”] class action_email_spoof action action_phishing[“<b>Azione</b> – <b>T1566 phishing</b><br/><b>Descrizione</b>: Email con link malevolo a una falsa pagina Zoom”] class action_phishing action action_user_exec_link[“<b>Azione</b> – <b>T1204.001 esecuzione utente: link malevolo</b><br/><b>Descrizione</b>: La vittima clicca il link e apre una pagina Zoom clonata”] class action_user_exec_link action action_masquerade_file[“<b>Azione</b> – <b>T1036.008 mascheramento tipo file</b><br/><b>Descrizione</b>: Download di uno script VBS mascherato da installer Zoom”] class action_masquerade_file action action_user_exec_vbs[“<b>Azione</b> – <b>T1204 esecuzione utente</b><br/><b>Descrizione</b>: Esecuzione del file VBS (downloader)”] class action_user_exec_vbs action action_download_rat[“<b>Azione</b> – <b>T1219 strumenti di accesso remoto</b><br/><b>Descrizione</b>: Installazione di ScreenConnect”] class action_download_rat action action_persistence[“<b>Azione</b> – <b>T1133 servizi remoti</b><br/><b>Descrizione</b>: ScreenConnect crea un servizio Windows persistente”] class action_persistence action tool_vbs[“<b>Tool</b> – Zoom_Installer_64_bit.exe.vbs<br/><b>Descrizione</b>: Script VBS per scaricare payload”] class tool_vbs tool tool_screenconnect[“<b>Tool</b> – ConnectWise ScreenConnect Client<br/><b>Descrizione</b>: Software di accesso remoto”] class tool_screenconnect tool process_download[“<b>Processo</b> – download MSI ScreenConnect<br/><b>Descrizione</b>: Download del file ScreenConnect.ClientSetup.msi”] class process_download process action_email_spoof –>|porta_a| action_phishing action_phishing –>|porta_a| action_user_exec_link action_user_exec_link –>|porta_a| action_masquerade_file action_masquerade_file –>|porta_a| action_user_exec_vbs action_user_exec_vbs –>|usa| tool_vbs tool_vbs –>|scarica| process_download process_download –>|installa| tool_screenconnect tool_screenconnect –>|abilita| action_download_rat action_download_rat –>|fornisce| action_persistence

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.

Narrativa dell’Attacco & Comandi

  1. Consegna Iniziale: La vittima riceve un’email di phishing intitolata “Zoom Meeting – Install Update”. L’allegato è uno script VBS denominato _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Esecuzione: L’utente fa doppio clic sul file VBS, che invoca cscript.exe per eseguire lo script. Lo script rilascia due payload in %TEMP%:
    • ScreenConnect.ClientSetup.msi – l’installer del tool di Accesso Remoto malevolo.
    • Una porta sul retro in PowerShell secondaria (non parte di questa regola).
  3. Installazione: Lo script VBS avvia silenziosamente msiexec.exe per installare il ScreenConnect.ClientSetup.msi con /quiet. Questo crea un nuovo evento di creazione del processo il cui Immagine termina con ScreenConnect.ClientSetup.msi, soddisfacendo la condizione della regola.

Script di Test di Regressione

# --------------------------------------------------------------
# Script di Simulazione – Innesca rilevazioni di "ScreenConnect.ClientSetup.msi"
# e "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# --------------------------------------------------------------

# 1. Preparare i payload (in un test reale questi sarebbero i file malevoli)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# File fittizi per emulare i nomi malevoli (gli hash possono essere aggiunti in seguito)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Creare file segnaposto vuoti (sostituire con payload reali per test live)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – scrive l'MSI su disco e lo avvia
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Eseguire il dropper VBS (questo avvierà a sua volta msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulazione eseguita – il rilevamento dovrebbe ora scattare." -ForegroundColor Green

Comandi di Pulizia

# --------------------------------------------------------------
# Pulizia – rimuove gli artefatti creati dalla simulazione
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Arresta eventuali processi msiexec rimanenti avviati dal test
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Rimuovi file e directory temporanei
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Pulizia completata." -ForegroundColor Yellow

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis