12 ngày, 1.437 máy Windows bị cài công cụ giám sát từ trang Zoom giả mạo

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.640 bài viết
12 ngày, 1.437 máy Windows bị cài công cụ giám sát từ trang Zoom giả mạo
WhiteHat Team
Chỉ trong 12 ngày, một website giả mạo trang cập nhật Zoom đã âm thầm biến 1.437 máy tính Windows thành công cụ theo dõi từ xa. Không khai thác lỗ hổng phức tạp, kẻ tấn công lợi dụng tâm lý người dùng và một phần mềm hợp pháp để cài cắm tác nhân giám sát hoạt động ẩn hoàn toàn, không biểu tượng, không cảnh báo và gần như không để lại dấu vết rõ ràng.
zoom.png

Chiến dịch được phát hiện ngày 11/2/2026 trên nền tảng Microsoft Defender for Endpoint. Thay vì sử dụng mã độc tự phát triển, kẻ tấn công triển khai một phiên bản bị cấu hình trái phép của Teramind, một công cụ giám sát nhân viên thương mại hợp pháp. Teramind xác nhận không liên quan và không cho phép việc sử dụng phần mềm của mình trong hoạt động này.

Cuộc tấn công bắt đầu khi nạn nhân truy cập trang uswebzoomus[.]com/zoom/, được thiết kế giống hệt phòng chờ của Zoom. Ngay khi trang tải xong, hệ thống âm thầm gửi tín hiệu về máy chủ do kẻ tấn công kiểm soát. Ba người tham gia giả gồm “Matthew Karlsson”, “James Whitmore” và “Sarah Chen” lần lượt xuất hiện cùng âm thanh thông báo quen thuộc và đoạn hội thoại lặp lại phía sau để tạo cảm giác chân thực.

Kịch bản này chỉ kích hoạt khi có tương tác thực từ người dùng. Các hệ thống quét tự động không nhấp chuột sẽ không ghi nhận dấu hiệu bất thường. Theo phân tích của Malwarebytes công bố ngày 24/2/2026, chiến dịch được xây dựng xoay quanh yếu tố thao túng tâm lý thay vì kỹ thuật quá phức tạp.

Trên giao diện cuộc gọi giả, thông báo “Network Issue” được cố định sẵn nhằm tạo cảm giác lỗi kết nối. Âm thanh giật lag và hình ảnh đóng băng khiến người dùng tin rằng ứng dụng đang gặp sự cố. Khoảng 10 giây sau, cửa sổ bật lên xuất hiện với nội dung “Update Available” kèm đồng hồ đếm ngược 5 giây và không có tùy chọn đóng.

Khi bộ đếm kết thúc, trình duyệt tự động tải xuống một tệp cài đặt độc hại. Đồng thời, trang web hiển thị màn hình giả mạo Microsoft Store cho thấy “Zoom Workplace” đang được cài đặt nhằm đánh lạc hướng, trong khi tệp thực sự đã xuất hiện trong thư mục Downloads mà không có cảnh báo bảo mật nào.

Tệp zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced)(1).msi có mã băm SHA 256 là 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa. Tại thời điểm phát hiện, Microsoft Defender chưa cảnh báo tệp này trên VirusTotal, khiến người dùng không nhận được tín hiệu rủi ro rõ ràng.
Anh-whitehat-vn.png

Điều đáng lo ngại nằm ở cách triển khai. Kẻ tấn công không cần phát triển mã độc mới mà lợi dụng tùy chọn cài đặt ẩn của Teramind để biến một phần mềm hợp pháp thành công cụ theo dõi bí mật. Phiên bản này hoạt động hoàn toàn trong nền, không biểu tượng trên thanh tác vụ, không hiển thị ở khay hệ thống và cũng không xuất hiện trong danh sách chương trình đã cài đặt.

Thông tin bên trong gói cài đặt cho thấy nó được xây dựng ở chế độ stealth, thể hiện qua thư mục out_stealth trong cấu trúc biên dịch. Sau khi được thực thi thông qua Windows Installer, agent thu thập tên máy, tài khoản người dùng đang hoạt động, ngôn ngữ bàn phím và thiết lập vùng hệ thống rồi gửi dữ liệu về máy chủ Teramind do kẻ tấn công kiểm soát.

Tệp nhị phân của agent mặc định mang tên dwm.exe và được cài vào thư mục C:\ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A}. Trình cài đặt còn tích hợp cơ chế phát hiện môi trường phân tích như sandbox bằng kỹ thuật debug environment detection. Nếu nghi ngờ đang bị theo dõi, nó có thể thay đổi hành vi để né tránh công cụ bảo mật. Sau khi hoàn tất, các tệp tạm thời bị xóa để giảm dấu vết.

Agent tiếp tục hoạt động âm thầm, ghi lại thao tác bàn phím, chụp màn hình, theo dõi hoạt động web, clipboard và các tệp được truyền tải. Do đây là thành phần của một sản phẩm thương mại hợp pháp, nhiều giải pháp antivirus dựa trên chữ ký có thể không coi là mã độc.

Trước nguy cơ lây nhiễm âm thầm và khó bị phát hiện, các đơn vị quản trị cần chủ động bổ sung mã băm SHA 256 và domain uswebzoomus[.]com vào danh sách chặn. Người dùng từng truy cập trang giả không nên mở tệp đã tải. Nếu đã chạy trình cài đặt, thiết bị cần được xem là đã bị xâm nhập. Cần kiểm tra thư mục ẩn trong C:\ProgramData, xác minh dịch vụ tsvchst có đang hoạt động hay không và thay đổi toàn bộ mật khẩu từ một thiết bị sạch. Các sự cố liên quan đến công việc phải báo ngay cho bộ phận IT hoặc an ninh.

Để phòng tránh, người dùng nên mở Zoom từ ứng dụng đã cài đặt sẵn, tự gõ zoom.us trên trình duyệt và thận trọng với mọi liên kết họp bất ngờ trước khi nhấp vào.
Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • SAP tung bản vá tháng 12/2025 cho 14 lỗ hổng nguy hiểm đe dọa hệ thống doanh nghiệp
  • 12.000 trang WordPress bị đặt vào tầm ngắm bởi lỗi xác thực nghiêm trọng
  • CVE-2025-21293: Lỗ hổng Active Directory cho phép hacker chiếm trọn domain controller
  • Google vá 120 lỗ hổng bảo mật Android, hai lỗ hổng đang bị khai thác trong thực tế
  • Lỗ hổng CVE-2025-49127 trong Kafbat UI cho phép thực thi mã từ xa qua JMX
  • Hơn 12.000 tỷ đồng bốc hơi: Tội phạm lừa đảo mạng đang biến thành 'tập đoàn ngầm'?
    • Thẻ
    update zoom windows zoom giả mạo
    Bên trên