SOC Prime Bias: Alto

19 May 2026 13:30 UTC

Clicca, Installa, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom

Author Photo
SOC Prime Team linkedin icon Segui
Clicca, Installa, Compromesso: La Nuova Ondata di Attacchi a Tema Zoom
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Riepilogo

Gli attori delle minacce stanno sfruttando inviti a riunioni Zoom fasulli per distribuire un downloader VBS malevolo che installa ConnectWise ScreenConnect, un’applicazione legittima di accesso remoto. Il payload VBS scarica lo ScreenConnect MSI da un’infrastruttura controllata dagli attaccanti e lo avvia dalla directory TEMP della vittima. TEMP Dopo che lo strumento di accesso remoto è installato, gli attaccanti ottengono accesso persistente al sistema, consentendo il furto di credenziali, ricognizione e distribuzione di malware successivi come i ransomware.

Indagine

Cofense ha identificato email di phishing che indirizzavano le vittime a una falsa pagina Zoom invitandole ad installare un aggiornamento contraffatto. Tale aggiornamento ha distribuito un file VBS denominato _zoommeeting_Zoom_Installer_64_bit.exe.vbs, che conteneva un URL codificato verso un indirizzo IP malevolo che ospitava l’installer ScreenConnect.ClientSetup.msi . Lo script eseguiva quindi il file MSI tramite Windows Script Host in una finestra nascosta per evitare di attirare attenzione.

Mitigazione

Le organizzazioni dovrebbero implementare controlli di sicurezza email che possano rilevare e bloccare esche di phishing a tema Zoom, richiedere l’autenticazione multi-fattore per strumenti di accesso remoto e limitare l’esecuzione di script VBS da directory scrivibili dagli utenti. I difensori dovrebbero anche monitorare il traffico di rete per comunicazioni con domini e IP noti malevoli e applicare una lista di consentiti per controllare software legittimi di amministrazione remota.

Risposta

Se questa attività viene rilevata, isolare immediatamente l’endpoint compromesso, rimuovere il file VBS malevolo e qualsiasi componente ScreenConnect installato, e reimpostare le credenziali compromesse. Gli investigatori dovrebbero poi eseguire un’analisi forense per determinare se ulteriore malware sia stato distribuito o se dati siano stati esfiltrati. Le politiche di accesso remoto dovrebbero essere riviste e rafforzate, e i contenuti di rilevamento dovrebbero essere aggiornati con gli indicatori di compromesso osservati.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare esattamente la telemetria prevista dalla logica di rilevamento.

Narrativa dell’Attacco & Comandi

  1. Consegna Iniziale: La vittima riceve un’email di phishing intitolata “Zoom Meeting – Install Update”. L’allegato è uno script VBS denominato _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Esecuzione: L’utente fa doppio clic sul file VBS, che invoca cscript.exe per eseguire lo script. Lo script rilascia due payload in %TEMP%:
    • ScreenConnect.ClientSetup.msi – l’installer del tool di Accesso Remoto malevolo.
    • Una porta sul retro in PowerShell secondaria (non parte di questa regola).
  3. Installazione: Lo script VBS avvia silenziosamente msiexec.exe per installare il ScreenConnect.ClientSetup.msi con /quiet. Questo crea un nuovo evento di creazione del processo il cui Immagine termina con ScreenConnect.ClientSetup.msi, soddisfacendo la condizione della regola.

Script di Test di Regressione

# --------------------------------------------------------------
# Script di Simulazione – Innesca rilevazioni di "ScreenConnect.ClientSetup.msi"
# e "_zoommeeting_Zoom_installer_64_bit.exe.vbs"
# --------------------------------------------------------------

# 1. Preparare i payload (in un test reale questi sarebbero i file malevoli)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# File fittizi per emulare i nomi malevoli (gli hash possono essere aggiunti in seguito)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Creare file segnaposto vuoti (sostituire con payload reali per test live)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – scrive l'MSI su disco e lo avvia
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Eseguire il dropper VBS (questo avvierà a sua volta msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulazione eseguita – il rilevamento dovrebbe ora scattare." -ForegroundColor Green

Comandi di Pulizia

# --------------------------------------------------------------
# Pulizia – rimuove gli artefatti creati dalla simulazione
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Arresta eventuali processi msiexec rimanenti avviati dal test
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Rimuovi file e directory temporanei
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Pulizia completata." -ForegroundColor Yellow