SOC Prime Bias: Alto

19 May 2026 13:30 UTC

Clic, Instalar, Comprometido: La Nueva Ola de Ataques Tematizados en Zoom

Author Photo
SOC Prime Team linkedin icon Seguir
Clic, Instalar, Comprometido: La Nueva Ola de Ataques Tematizados en Zoom
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

Los actores de amenazas están explotando invitaciones falsas a reuniones de Zoom para entregar un descargador VBS malicioso que instala ConnectWise ScreenConnect, una aplicación legítima de acceso remoto. La carga útil de VBS descarga el MSI de ScreenConnect desde una infraestructura controlada por el atacante y lo lanza desde el TEMP directorio de la víctima. Después de que se instala la herramienta de acceso remoto, los atacantes obtienen acceso persistente al sistema, lo que permite el robo de credenciales, el reconocimiento y la entrega de malware adicional, como ransomware.

Investigación

Cofense identificó correos electrónicos de phishing que dirigieron a las víctimas a una página falsa de Zoom que les solicitaba instalar una actualización falsa. Esa actualización entregó un archivo VBS llamado _zoommeeting_Zoom_Installer_64_bit.exe.vbs, que contenía una URL codificada que apuntaba a una dirección IP maliciosa que alojaba el instalador ScreenConnect.ClientSetup.msi . Luego, el script ejecutó el MSI a través de Windows Script Host en una ventana oculta para evitar llamar la atención.

Mitigación

Las organizaciones deben desplegar controles de seguridad de correo electrónico que puedan detectar y bloquear señuelos de phishing temáticos de Zoom, requerir autenticación multifactor para herramientas de acceso remoto y restringir la ejecución de scripts VBS desde directorios escribibles por usuarios. Los defensores también deben monitorear el tráfico de red para detectar comunicaciones con dominios y IPs maliciosos conocidos y aplicar listas de permisos de aplicaciones para controlar el software legítimo de administración remota.

Respuesta

Si se detecta esta actividad, aísle inmediatamente el punto final afectado, elimine el archivo VBS malicioso y cualquier componente de ScreenConnect instalado, y restablezca las credenciales comprometidas. Los investigadores deben luego realizar un análisis forense para determinar si se desplegó malware adicional o si se exfiltraron datos. Las políticas de acceso remoto también deben revisarse y fortalecerse, y el contenido de detección debe actualizarse con los indicadores de compromiso observados.

Flujo de Ataque

Detecciones

Posible Archivo VBS Malicioso con Doble Extensión (vía cmdline)

Equipo de SOC Prime
19 de mayo de 2026

LOLBAS WScript / CScript (vía creación de proceso)

Equipo de SOC Prime
19 de mayo de 2026

Software de Acceso/Administración Remota Alternativo (vía creación de proceso)

Equipo de SOC Prime
19 de mayo de 2026

Software de Acceso/Administración Remota Alternativo (vía sistema)

Equipo de SOC Prime
19 de mayo de 2026

Software de Acceso/Administración Remota Alternativo (vía auditoría)

Equipo de SOC Prime
19 de mayo de 2026

Intento Posible de Instalación de Software RMM Usando MsiInstaller (vía registros de aplicaciones)

Equipo de SOC Prime
19 de mayo de 2026

Descarga de Archivo Sospechosa IP Directa (vía proxy)

Equipo de SOC Prime
19 de mayo de 2026

IOCs (HashSha256) para detectar: Click, Install, Compromiso: La Nueva Ola de Ataques Temáticos de Zoom

Reglas de IA de SOC Prime
19 de mayo de 2026

IOCs (HashMd5) para detectar: Click, Install, Compromiso: La Nueva Ola de Ataques Temáticos de Zoom

Reglas de IA de SOC Prime
19 de mayo de 2026

IOCs (SourceIP) para detectar: Click, Install, Compromiso: La Nueva Ola de Ataques Temáticos de Zoom

Reglas de IA de SOC Prime
19 de mayo de 2026

IOCs (DestinationIP) para detectar: Click, Install, Compromiso: La Nueva Ola de Ataques Temáticos de Zoom

Reglas de IA de SOC Prime
19 de mayo de 2026

Detección de Ejecución de ScreenConnect y Instalador de Zoom Malicioso [Creación de Proceso de Windows]

Reglas de IA de SOC Prime
19 de mayo de 2026

Ejecución de Simulación

Requisito previo: la verificación previa de Telemetría y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntar a generar la telemetría precisa esperada por la lógica de detección.

Narrativa de Ataque y Comandos

  1. Entrega Inicial: La víctima recibe un correo electrónico de phishing titulado “Zoom Meeting – Install Update”. El adjunto es un script VBS llamado _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Ejecución: El usuario hace doble clic en el archivo VBS, que invoca cscript.exe para ejecutar el script. El script deja caer dos cargas útiles en %TEMP%:
    • instalador ScreenConnect.ClientSetup.msi – el instalador de la Herramienta de Acceso Remoto malicioso.
    • Una puerta trasera secundaria de PowerShell (no parte de esta regla).
  3. Instalación: El script VBS lanza silenciosamente msiexec.exe para instalar el instalador ScreenConnect.ClientSetup.msi con /quiet. Esto crea un nuevo evento de creación de proceso cuyo Imagen termina con instalador ScreenConnect.ClientSetup.msi, satisfaciendo la condición de la regla.

Script de Prueba de Regresión

# --------------------------------------------------------------
#  Script de Simulación – Activa "ScreenConnect.ClientSetup.msi"
#  y "_zoommeeting_Zoom_installer_64_bit.exe.vbs" detecciones
# --------------------------------------------------------------

# 1. Prepare las cargas útiles (en una prueba real estos serían los archivos maliciosos)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Archivos ficticios para emular los nombres maliciosos (se pueden agregar hashes más tarde)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Crea archivos marcadores vacíos (reemplazar con cargas útiles reales para prueba en vivo)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – escribe el MSI en el disco y lo lanza
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Ejecuta el dropper VBS (esto a su vez lanzará msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulación ejecutada – la detección debería activarse ahora." -ForegroundColor Green

Comandos de Limpieza

# --------------------------------------------------------------
#  Limpieza – elimina los artefactos creados por la simulación
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Deten cualquier proceso msiexec persistente iniciado por la prueba
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Elimina archivos y directorio temporales
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Limpieza completa." -ForegroundColor Yellow