Des cybercriminels créent des sites contrefaits Zoom pour diffuser des logiciels malveillants comme Teramind, espionnant discrètement les utilisateurs via des faux installateurs.
© RusPhotoBank
Les experts en cybersécurité de Malwarebytes ont démasqué une nouvelle campagne de piratage. Des cybercriminels créent des sites web contrefaits qui usurpent l'identité du service officiel de visioconférence Zoom. Ces pages frauduleuses diffusent des logiciels malveillants conçus pour espionner discrètement les utilisateurs.
D'après les spécialistes, les escrocs font la promotion de ces faux sites via de la publicité payante et l'optimisation pour les moteurs de recherche. Lorsque des utilisateurs tentent de rejoindre une réunion en ligne via l'interface web, le site simule des problèmes techniques, comme des coupures audio ou des retards vidéo. Les visiteurs sont alors invités à télécharger un "installateur Zoom" censé résoudre le problème. Pris par le temps, beaucoup acceptent de télécharger le fichier.
L'analyse a révélé que le package d'installation contient un logiciel d'entreprise légitime pour le contrôle à distance, nommé Teramind. De tels outils échappent souvent aux détections des antivirus, puisqu'ils sont officiellement utilisés dans des environnements professionnels. C'est précisément ce qu'exploitent les attaquants en intégrant ce programme dans leur distribution de phishing.
Une fois installé, Teramind peut fonctionner en mode furtif, sans apparaître dans le système. Le programme est capable d'enregistrer les frappes au clavier, de prendre des captures d'écran régulières, de surveiller les sites web visités, les applications en cours d'exécution, le contenu du presse-papiers, ainsi que les activités liées aux fichiers et aux e-mails. Ce type de surveillance est difficile à détecter sans des outils de sécurité spécialisés.