Clicca, Installa, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Gli attori delle minacce stanno sfruttando inviti a riunioni Zoom fasulli per distribuire un downloader VBS malevolo che installa ConnectWise ScreenConnect, un’applicazione legittima di accesso remoto. Il payload VBS scarica lo ScreenConnect MSI da un’infrastruttura controllata dagli attaccanti e lo avvia dalla directory TEMP della vittima. TEMP Dopo che lo strumento di accesso remoto è installato, gli attaccanti ottengono accesso persistente al sistema, consentendo il furto di credenziali, ricognizione e distribuzione di malware successivi come i ransomware.
Indagine
Cofense ha identificato email di phishing che indirizzavano le vittime a una falsa pagina Zoom invitandole ad installare un aggiornamento contraffatto. Tale aggiornamento ha distribuito un file VBS denominato _zoommeeting_Zoom_Installer_64_bit.exe.vbs, che conteneva un URL codificato verso un indirizzo IP malevolo che ospitava l’installer ScreenConnect.ClientSetup.msi . Lo script eseguiva quindi il file MSI tramite Windows Script Host in una finestra nascosta per evitare di attirare attenzione.
Mitigazione
Le organizzazioni dovrebbero implementare controlli di sicurezza email che possano rilevare e bloccare esche di phishing a tema Zoom, richiedere l’autenticazione multi-fattore per strumenti di accesso remoto e limitare l’esecuzione di script VBS da directory scrivibili dagli utenti. I difensori dovrebbero anche monitorare il traffico di rete per comunicazioni con domini e IP noti malevoli e applicare una lista di consentiti per controllare software legittimi di amministrazione remota.
Risposta
Se questa attività viene rilevata, isolare immediatamente l’endpoint compromesso, rimuovere il file VBS malevolo e qualsiasi componente ScreenConnect installato, e reimpostare le credenziali compromesse. Gli investigatori dovrebbero poi eseguire un’analisi forense per determinare se ulteriore malware sia stato distribuito o se dati siano stati esfiltrati. Le politiche di accesso remoto dovrebbero essere riviste e rafforzate, e i contenuti di rilevamento dovrebbero essere aggiornati con gli indicatori di compromesso osservati.
Flusso di Attacco
Rilevamenti
Possibile File VBS Malevolo con Doppia Estensione (tramite cmdline)
Guarda
LOLBAS WScript / CScript (via process_creation)
Guarda
Software di Accesso / Gestione Remota Alternativo (tramite process_creation)
Guarda
Software di Accesso / Gestione Remota Alternativo (tramite sistema)
Guarda
Software di Accesso / Gestione Remota Alternativo (tramite audit)
Guarda
Tentativo di Installazione RMM Software Usando MsiInstaller (tramite registri delle applicazioni)
Guarda
Download di File Sospetto IP Diretto (tramite proxy)
Guarda
IOC (HashSha256) per rilevare: Clik, Installazione, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
Guarda
IOC (HashMd5) per rilevare: Clik, Installazione, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
Guarda
IOC (SourceIP) per rilevare: Clik, Installazione, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
Guarda
IOC (DestinationIP) per rilevare: Clik, Installazione, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
Guarda
Rilevamento di ScreenConnect e Esecuzione dell’Installer Zoom Malevolo [Windows Process Creation]
Guarda
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.
Narrativa dell’Attacco & Comandi
- Consegna Iniziale: La vittima riceve un’email di phishing intitolata “Zoom Meeting – Install Update”. L’allegato è uno script VBS denominato
_zoommeeting_Zoom_installer_64_bit.exe.vbs. - Esecuzione: L’utente fa doppio clic sul file VBS, che invoca cscript.exe per eseguire lo script. Lo script rilascia due payload in
%TEMP%:ScreenConnect.ClientSetup.msi– l’installer del tool di Accesso Remoto malevolo.- Una porta sul retro in PowerShell secondaria (non parte di questa regola).
- Installazione: Lo script VBS avvia silenziosamente msiexec.exe per installare il
ScreenConnect.ClientSetup.msicon/quiet. Questo crea un nuovo evento di creazione del processo il cuiImmaginetermina conScreenConnect.ClientSetup.msi, soddisfacendo la condizione della regola.
Script di Test di Regressione
# --------------------------------------------------------------
# Script di Simulazione – Innesca rilevazioni di "ScreenConnect.ClientSetup.msi"
# e "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# --------------------------------------------------------------
# 1. Preparare i payload (in un test reale questi sarebbero i file malevoli)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null
# File fittizi per emulare i nomi malevoli (gli hash possono essere aggiunti in seguito)
$msiPath = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# Creare file segnaposto vuoti (sostituire con payload reali per test live)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – scrive l'MSI su disco e lo avvia
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII
# 2. Eseguire il dropper VBS (questo avvierà a sua volta msiexec)
cscript.exe //B //Nologo $vbscript
Write-Host "`n[+] Simulazione eseguita – il rilevamento dovrebbe ora scattare." -ForegroundColor Green
Comandi di Pulizia
# --------------------------------------------------------------
# Pulizia – rimuove gli artefatti creati dalla simulazione
# --------------------------------------------------------------
$payloadDir = "$env:TEMPZoomPhish"
# Arresta eventuali processi msiexec rimanenti avviati dal test
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force
# Rimuovi file e directory temporanei
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
Write-Host "`n[+] Pulizia completata." -ForegroundColor Yellow