SOC Prime Bias: Alto

19 May 2026 13:30 UTC
newspaper icon cofense.com

Clique, Instale, Comprometido: A Nova Onda de Ataques Temáticos do Zoom

Author Photo
SOC Prime Team linkedin icon Seguir
Clique, Instale, Comprometido: A Nova Onda de Ataques Temáticos do Zoom
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Atores de ameaças estão explorando convites falsos de reuniões do Zoom para entregar um downloader VBS malicioso que instala o ConnectWise ScreenConnect, uma aplicação legítima de acesso remoto. O payload VBS faz o download do ScreenConnect MSI a partir de uma infraestrutura controlada pelo atacante e o executa a partir do TEMP diretório da vítima. Depois que a ferramenta de acesso remoto é instalada, os atacantes obtêm acesso persistente ao sistema, permitindo roubo de credenciais, reconhecimento e entrega de malware subsequente, como ransomware.

Investigação

A Cofense identificou e-mails de phishing que direcionavam as vítimas para uma página falsa do Zoom, solicitando que elas instalassem uma atualização falsa. Essa atualização entregou um arquivo VBS chamado _zoommeeting_Zoom_Installer_64_bit.exe.vbs, que continha um URL hard-coded apontando para um endereço IP malicioso hospedando o ScreenConnect.ClientSetup.msi instalador. O script então executou o MSI através do Windows Script Host em uma janela oculta para evitar chamar a atenção.

Mitigação

As organizações devem implantar controles de segurança de e-mail que possam detectar e bloquear iscas de phishing temáticas do Zoom, exigir autenticação multifator para ferramentas de acesso remoto e restringir a execução de scripts VBS a partir de diretórios graváveis por usuários. Os defensores também devem monitorar o tráfego de rede para comunicação com domínios e IPs maliciosos conhecidos e aplicar listas de permissões de aplicativos para controlar software legítimo de administração remota.

Resposta

Se essa atividade for detectada, isole o endpoint afetado imediatamente, remova o arquivo VBS malicioso e quaisquer componentes do ScreenConnect instalados, e redefina as credenciais comprometidas. Os investigadores devem então realizar uma análise forense para determinar se malware adicional foi implantado ou se dados foram exfiltrados. As políticas de acesso remoto também devem ser revisadas e fortalecidas, e o conteúdo de detecção deve ser atualizado com os indicadores de comprometimento observados.

graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 action_email_spoof[“<b>Ação</b> – <b>T1672 spoofing de email</b><br/><b>Descrição</b>: Atacante envia email que parece ser do Zoom”] class action_email_spoof action action_phishing[“<b>Ação</b> – <b>T1566 phishing</b><br/><b>Descrição</b>: Email com link malicioso para página falsa do Zoom”] class action_phishing action action_user_exec_link[“<b>Ação</b> – <b>T1204.001 execução do utilizador: link malicioso</b><br/><b>Descrição</b>: Utilizador clica no link e abre página Zoom clonada”] class action_user_exec_link action action_masquerade_file[“<b>Ação</b> – <b>T1036.008 mascaramento de tipo de ficheiro</b><br/><b>Descrição</b>: Download de script VBS disfarçado de instalador Zoom”] class action_masquerade_file action action_user_exec_vbs[“<b>Ação</b> – <b>T1204 execução do utilizador</b><br/><b>Descrição</b>: Execução do ficheiro VBS (downloader)”] class action_user_exec_vbs action action_download_rat[“<b>Ação</b> – <b>T1219 ferramentas de acesso remoto</b><br/><b>Descrição</b>: Instalação do ScreenConnect”] class action_download_rat action action_persistence[“<b>Ação</b> – <b>T1133 serviços remotos externos</b><br/><b>Descrição</b>: ScreenConnect cria serviço Windows persistente”] class action_persistence action tool_vbs[“<b>Ferramenta</b> – Zoom_Installer_64_bit.exe.vbs<br/><b>Descrição</b>: Script VBS para download de payload”] class tool_vbs tool tool_screenconnect[“<b>Ferramenta</b> – ConnectWise ScreenConnect Client<br/><b>Descrição</b>: Software de acesso remoto”] class tool_screenconnect tool process_download[“<b>Processo</b> – download MSI ScreenConnect<br/><b>Descrição</b>: ficheiro ScreenConnect.ClientSetup.msi”] class process_download process action_email_spoof –>|leva_a| action_phishing action_phishing –>|leva_a| action_user_exec_link action_user_exec_link –>|leva_a| action_masquerade_file action_masquerade_file –>|leva_a| action_user_exec_vbs action_user_exec_vbs –>|usa| tool_vbs tool_vbs –>|faz_download| process_download process_download –>|instala| tool_screenconnect tool_screenconnect –>|ativa| action_download_rat action_download_rat –>|fornece| action_persistence

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check pré-vôo de Telemetria & Baseline deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente as TTPs identificadas e visam gerar exatamente a telemetria esperada pela lógica de detecção.

Narrativa de Ataque & Comandos

  1. Entrega Inicial: A vítima recebe um e-mail de phishing intitulado “Reunião Zoom – Instalar Atualização”. O anexo é um script VBS chamado _zoommeeting_Zoom_installer_64_bit.exe.vbs.
  2. Execução: O usuário dá um duplo clique no arquivo VBS, que invoca cscript.exe para executar o script. O script deixa na máquina dois payloads em %TEMP%:
    • ScreenConnect.ClientSetup.msi – o instalador da ferramenta de Acesso Remoto malicioso.
    • Uma segunda porta dos fundos PowerShell (não faz parte desta regra).
  3. Instalação: O script VBS inicia silenciosamente msiexec.exe para instalar o ScreenConnect.ClientSetup.msi com /quiet. Isso cria um novo evento de criação de processo cuja Imagem termina com ScreenConnect.ClientSetup.msi, satisfazendo a condição da regra.

Script de Teste de Regressão

# --------------------------------------------------------------
#  Script de Simulação – Aciona "ScreenConnect.ClientSetup.msi"
#  e "_zoommeeting_Zoom_installer_64_bit.exe.vbs" detecções
# --------------------------------------------------------------

# 1. Preparar payloads (em um teste real estes seriam os arquivos maliciosos)
$payloadDir = "$env:TEMPZoomPhish"
New-Item -Path $payloadDir -ItemType Directory -Force | Out-Null

# Arquivos fictícios para emular os nomes maliciosos (os hashes podem ser adicionados posteriormente)
$msiPath   = Join-Path $payloadDir "ScreenConnect.ClientSetup.msi"
$vbscript  = Join-Path $payloadDir "_zoommeeting_Zoom_installer_64_bit.exe.vbs"

# Criar arquivos vazios fictícios (substituir por payloads reais para teste ao vivo)
New-Item -Path $msiPath -ItemType File -Force | Out-Null
Set-Content -Path $vbscript -Value @"
' VBS dropper – grava o MSI em disco e o lança
Set objFSO = CreateObject("Scripting.FileSystemObject")
strTemp = objFSO.GetSpecialFolder(2) ' %TEMP%
objFSO.CopyFile "%~dp0ScreenConnect.ClientSetup.msi", strTemp & "ScreenConnect.ClientSetup.msi"
Set objShell = CreateObject("WScript.Shell")
objShell.Run "msiexec /i """ & strTemp & "ScreenConnect.ClientSetup.msi"" /quiet", 0, False
"@ -Encoding ASCII

# 2. Executar o dropper VBS (isso, por sua vez, iniciará o msiexec)
cscript.exe //B //Nologo $vbscript

Write-Host "`n[+] Simulação executada – a detecção deve ativar agora." -ForegroundColor Green

Comandos de Limpeza

# --------------------------------------------------------------
#  Limpeza – remove artefatos criados pela simulação
# --------------------------------------------------------------

$payloadDir = "$env:TEMPZoomPhish"

# Parar quaisquer processos msiexec restantes iniciados pelo teste
Get-Process -Name msiexec -ErrorAction SilentlyContinue | Stop-Process -Force

# Remover arquivos e diretórios temporários
Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue

Write-Host "`n[+] Limpeza completa." -ForegroundColor Yellow

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente