Sikkerhetseksperter avdekker phishing-kampanje med falske Zoom-nettsider som distribuerer Teramind-spionprogramvare for hemmelig overvåkning av brukere.
© RusPhotoBank
Sikkerhetseksperter fra Malwarebytes har avdekket en ny kampanje der trusselaktører lager falske nettsider som utgir seg for å være den offisielle videokonferansetjenesten Zoom. Disse svindelsidene distribuerer skadelig programvare som er utviklet for hemmelig overvåkning av brukere.
Ifølge ekspertene markedsfører svindlerne disse forfalskede sidene gjennom betalt annonsering og søkemotoroptimalisering. Når brukere prøver å delta i et nettbasert møte via webgrensesnittet, simulerer siden tekniske problemer som lydavbrudd og videoforsinkelser. Besøkende blir deretter bedt om å laste ned en «Zoom-installasjon» som angivelig skal løse problemet. I øyeblikkets stress godtar mange å laste ned filen.
Analyse viste at installasjonspakken inneholder legitim bedriftsprogramvare for fjernkontroll kalt Teramind. Slike verktøy unngår ofte antivirusoppdagelse siden de er offisielt brukt i næringsmiljøer, noe angriperne utnytter ved å bygge inn programmet i sin phishing-distribusjon.
Når den er installert, kan Teramind operere i skjult modus uten å vises i systemet. Programmet kan registrere tastetrykk, ta regelmessige skjermbilder, overvåke besøkte nettsider, kjørende applikasjoner, utklippstavleinnhold samt fil- og e-postaktiviteter. Denne typen overvåkning er vanskelig å oppdage uten spesialiserte sikkerhetsverktøy.