Cliquez, Installez, Compromis : La Nouvelle Vague d’Attaques Thématisées sur Zoom

SOC Prime Team

Suivre

Cliquez, Installez, Compromis : La Nouvelle Vague d’Attaques Thématisées sur Zoom

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Les acteurs de menace exploitent de fausses invitations à des réunions Zoom pour livrer un téléchargeur VBS malveillant qui installe ConnectWise ScreenConnect, une application d’accès à distance légitime. La charge utile VBS télécharge le MSI de ScreenConnect à partir d’une infrastructure contrôlée par les attaquants et le lance depuis le répertoire de la TEMP victime. Après l’installation de l’outil d’accès à distance, les attaquants obtiennent un accès persistant au système, permettant le vol de données d’identification, la reconnaissance et la livraison de logiciels malveillants supplémentaires, tels que les rançongiciels.

Enquête

Cofense a identifié des e-mails de phishing dirigeant les victimes vers une fausse page Zoom les incitant à installer une fausse mise à jour. Cette mise à jour livrait un fichier VBS nommé _zoommeeting_Zoom_Installer_64_bit.exe.vbs, qui contenait une URL codée en dur pointant vers une adresse IP malveillante hébergeant l’installateur ScreenConnect.ClientSetup.msi . Le script exécutait ensuite le MSI via Windows Script Host dans une fenêtre cachée pour éviter d’attirer l’attention.

Atténuation

Les organisations devraient déployer des contrôles de sécurité des e-mails capables de détecter et de bloquer les tentatives de phishing à thème Zoom, exiger l’authentification multifactorielle pour les outils d’accès à distance et restreindre l’exécution de scripts VBS à partir de répertoires modifiables par les utilisateurs. Les défenseurs doivent également surveiller le trafic réseau pour détecter la communication avec des domaines et IP malveillants connus et appliquer la liste blanche des applications pour contrôler les logiciels légitimes d’administration à distance.

Réponse

Si cette activité est détectée, isolez immédiatement le poste de travail affecté, supprimez le fichier VBS malveillant et tous les composants ScreenConnect installés, et réinitialisez les identifiants compromis. Les enquêteurs doivent ensuite effectuer une analyse forensique pour déterminer si des logiciels malveillants supplémentaires ont été déployés ou si des données ont été exfiltrées. Les politiques d’accès à distance doivent également être révisées et renforcées, et le contenu de détection doit être mis à jour avec les indicateurs de compromission observés.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[« Action – T1672 Usurpation d’e-mail Description: L’attaquant envoie un e-mail semblant provenir d’une adresse Zoom légitime. »] class action_email_spoof action action_phishing[« Action – T1566 Phishing Description: L’e-mail contient un lien malveillant vers une fausse page Zoom. »] class action_phishing action action_user_exec_link[« Action – T1204.001 Exécution utilisateur : lien malveillant Description: La victime clique sur le lien et est redirigée vers une page Zoom clonée. »] class action_user_exec_link action action_masquerade_file[« Action – T1036.008 Déguisement de type de fichier Description: Le site demande de télécharger un script VBS déguisé en installateur Zoom. »] class action_masquerade_file action action_user_exec_vbs[« Action – T1204 Exécution utilisateur Description: La victime exécute le fichier VBS servant de téléchargeur. »] class action_user_exec_vbs action action_download_rat[« Action – T1219 Outils d’accès à distance Description: Le VBS installe le client ScreenConnect. »] class action_download_rat action action_persistence[« Action – T1133 Services distants externes Description: ScreenConnect est enregistré comme service Windows persistant. »] class action_persistence action tool_vbs[« Outil – Zoom_Installer_64_bit.exe.vbs Description: Script VBS utilisé pour télécharger des charges utiles. »] class tool_vbs tool tool_screenconnect[« Outil – Client ConnectWise ScreenConnect Description: Logiciel d’accès à distance. »] class tool_screenconnect tool process_download[« Processus – Téléchargement MSI ScreenConnect Description: Récupération du fichier ScreenConnect.ClientSetup.msi. »] class process_download process action_email_spoof –>|mène_à| action_phishing action_phishing –>|mène_à| action_user_exec_link action_user_exec_link –>|mène_à| action_masquerade_file action_masquerade_file –>|mène_à| action_user_exec_vbs action_user_exec_vbs –>|utilise| tool_vbs tool_vbs –>|télécharge| process_download process_download –>|installe| tool_screenconnect tool_screenconnect –>|active| action_download_rat action_download_rat –>|fournit| action_persistence

Flux d’Attaque

Récit et Commandes d’Attaque

Livraison Initiale : La victime reçoit un e-mail de phishing intitulé « Zoom Meeting – Install Update ». La pièce jointe est un script VBS nommé _zoommeeting_Zoom_installer_64_bit.exe.vbs.
Exécution : L’utilisateur double-clique sur le fichier VBS, qui invoque cscript.exe pour exécuter le script. Le script dépose deux charges utiles dans %TEMP%:
- ScreenConnect.ClientSetup.msi – le programme d’installation de l’outil d’accès à distance malveillant.
- Une porte dérobée PowerShell secondaire (ne faisant pas partie de cette règle).
Installation : Le script VBS lance discrètement msiexec.exe pour installer le ScreenConnect.ClientSetup.msi avec /quiet. Cela crée un nouvel événement de création de processus dont l’ Image finit par ScreenConnect.ClientSetup.msi, satisfaisant la condition de la règle.

Script de Test de Régression

# --------------------------------------------------------------
#  Script de Simulation – Déclenche "ScreenConnect.ClientSetup.msi"
#  et "_zoommeeting_Zoom_installer_64_bit.exe.vbs" détections
# --------------------------------------------------------------

# 1. Préparer les charges utiles (dans un test réel, ce seraient les fichiers malveillants)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Fichiers factices pour émuler les noms malveillants (les hachages peuvent être ajoutés plus tard)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Créer des fichiers vides de remplacement (à remplacer par de vraies charges utiles pour le test en direct)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – écrit le MSI sur disque et le lance
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Exécuter le dropper VBS (cela va à son tour lancer msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulation exécutée – la détection devrait se déclencher maintenant." -ForegroundColor Green

Commandes de Nettoyage

# --------------------------------------------------------------
#  Nettoyage – supprime les artefacts créés par la simulation
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Arrêter les processus msiexec persistants démarrés par le test
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Supprimer les fichiers temporaires et le répertoire
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Nettoyage terminé." -ForegroundColor Yellow

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement