This post is also available in:
English (אנגלית)
שיחות וידאו הפכו לחלק שגרתי משגרת העבודה, ופלטפורמות כמו זום הן כלי יומיומי בארגונים רבים. דווקא ההיכרות הזו מנוצלת כעת על ידי תוקפים. חוקרי אבטחה מדווחים על קמפיין שבו משתמשי חלונות מופתים להצטרף לפגישות זום מזויפות, ולאחר מכן מתבקשים להתקין "עדכון" כוזב שמטמיע בחשאי תוכנת ניטור מסחרית.
על פי דיווח של Cyber News, המתקפה מתחילה בקישור פגישה משכנע המתארח בדומיין דומה לזה המקורי. משתמשים הלוחצים על הקישור מועברים לחיקוי מציאותי של חדר המתנה לשיחת וידאו. משתתפים "מצטרפים" בזה אחר זה, בליווי צלילים מוכרים. בהמשך מדמה השיחה תקלות טכניות – וידאו מקרטע ושמע מעוות – ואז מופיעה התראה על "בעיה ברשת" הקוראת להורדת עדכון.
אין כפתור סגירה גלוי. לאחר ספירה לאחור קצרה, קובץ יורד אוטומטית, בעוד שהאתר מפנה לעמודים נוספים המחקים את חנות היישומים של מיקרוסופט ואת מסכי ההתקנה של זום. החבילה, בגודל 103.8 מגה־בייט ונקראת “zoom_agent_x64”, אינה מסומנת כאיום על ידי מנועי אנטי־וירוס בשירות VirusTotal.
הקובץ שהורד אינו נוזקה קלאסית. מדובר במתקין מוגדר מראש של כלי לגיטימי לניתוח פעילות עובדים, המשמש ארגונים לניטור שימוש במחשבי עבודה. לאחר ההתקנה, התוכנה יכולה לתעד הקשות מקלדת, לצלם מסך, לעקוב אחר גלישה ושימוש ביישומים, להקליט נתוני לוח גזירה ולנטר פעילות דוא"ל וקבצים. הסוכן מתקשר עם שרת מרוחק שבשליטת התוקפים.
המתקין פועל באמצעות מנגנון ההתקנה של חלונות מבלי להציג ממשק משתמש רגיל. סוכן הניטור פועל ב"מצב חמקני", ללא סמל בשורת המשימות, ללא הופעה במגש המערכת וללא רישום גלוי ברשימת התוכנות המותקנות. הוא כולל גם מנגנוני זיהוי סביבת בדיקה ומסיר עקבות התקנה זמניים לאחר סיום התהליך.
שיטה זו – ניצול תוכנה לגיטימית למטרות זדוניות – מכונה לעיתים "שימוש בכלים קיימים". מאחר שהקבצים שייכים למוצר מסחרי חוקי, כלי אנטי־וירוס מסורתיים עשויים שלא לזהותם כאיום.
פריסת כלי מעקב ברמת ריגול ללא הרשאה עלולה לחשוף תקשורת רגישה, נתונים מבצעיים או מידע מסווג בנקודות קצה שנפגעו. הקמפיין מדגיש את הסיכון הגובר שבשימוש לרעה בטכנולוגיות ניטור לגיטימיות ואת הצורך בשקיפות ובבקרה מתקדמת יותר בנקודות הקצה, מעבר לזיהוי מבוסס חתימות בלבד.
