Campanha de phishing imita Zoom, Teams e Google Meet para controlo remoto

Uma nova campanha de phishing está a replicar as páginas de acesso do Zoom, Microsoft Teams e Google Meet com o objetivo de levar utilizadores a instalar supostas atualizações obrigatórias que, na realidade, concedem controlo total dos seus dispositivos aos atacantes.

A investigação foi conduzida pelo Threat Labs da Netskope, que identificou várias campanhas capazes de reproduzir com elevado grau de fidelidade o fluxo habitual de convite para videoconferências corporativas. A vítima recebe um link para participar numa reunião e, ao aceder, encontra uma página praticamente idêntica à original, incluindo listas de participantes já ligados, criando um cenário de urgência e reduzindo suspeitas.

Falsas atualizações como porta de entrada

No momento em que o utilizador tenta entrar na reunião, surge um aviso a indicar que a aplicação está desatualizada ou não é compatível. Para prosseguir, é solicitado o download de uma “atualização obrigatória”. A vítima é então redirecionada para domínios typosquatted, como zoom-meet.us, onde descarrega o alegado patch.

Ao contrário de campanhas tradicionais, o ficheiro disponibilizado não contém malware convencional. Em vez disso, instala agentes RMM (Remote Monitoring and Management) legítimos e assinados digitalmente, como Datto RMM, LogMeIn ou ScreenConnect. Estas ferramentas, amplamente utilizadas em ambientes empresariais para suporte remoto, permitem aos atacantes contornar mecanismos de deteção baseados em assinaturas e misturar-se com tráfego legítimo.

Acesso persistente e risco alargado

Depois de executado, o software concede privilégios administrativos completos ao atacante. Com esse nível de acesso, é possível transferir ficheiros, abrir shells remotos, monitorizar o ecrã da vítima e movimentar-se lateralmente na rede corporativa.

Segundo a Netskope, o objetivo não é apenas comprometer um único sistema, mas estabelecer uma base persistente para operações de pós-exploração. Dado que estas ferramentas são concebidas para implementar software em larga escala, podem também ser utilizadas para distribuir novas cargas maliciosas em todo o ambiente, incluindo ransomware.

“Ao obterem acesso administrativo, os cibercriminosos contornam os filtros de segurança tradicionais e instalam-se de forma permanente para levar a cabo ações graves, que vão desde a recolha de dados até à disseminação massiva de ransomware”, afirma Jan Michael Alcantara, Threat Research Engineer da Netskope Threat Labs.