详细内容或原文请订阅后点击阅览
假冒 Zoom 和 Google Meet 诈骗安装 Teramind:技术深入探讨
攻击者并不总是需要自定义恶意软件。有时他们只需要一个值得信赖的品牌和一个合法的工具。
来源:Malwarebytes Labs 博客2026 年 2 月 24 日,我们发表了一篇关于假 Zoom 会议如何“更新”静默安装监控软件的文章,记录了一场利用令人信服的假 Zoom 等候室将合法 Teramind 安装程序推送到 Windows 计算机上的活动,该安装程序被滥用于未经授权的监控。 Teramind 表示,他们与所描述的威胁行为者无关,没有部署所提及的软件,并谴责任何未经授权滥用商业监控技术的行为。
在我们的调查结果发布后,该恶意域名被报告给其域名注册商 Namecheap,后者确认暂停了该服务。尽管已被删除,但我们的持续监控显示该活动不仅仍然活跃,而且还在不断增长:我们现在已经发现了一个冒充 Google Meet 的并行操作,该操作从不同的域和基础设施运行。
在本文中,我们将提供这两种变体背后更深入的技术分析,对我们直接观察到或从沙箱存储库中收集的诈骗者对 Teramind 实例 ID 的使用进行分类,记录我们在受控环境中实际操作的安装程序,并回答我们研究过程中出现的一个问题:单个相同的 Windows 安装程序包如何为多个不同的攻击者帐户提供服务?
活动扩展到 Google Meet
虽然 uswebzoomus[.]com 上的原始 Zoom 主题网站在社区报告后被 Namecheap 删除,但 googlemeetinterview[.]click 上的第二个网站正在使用适用于 Google Meet 的相同 playbook 积极部署相同的有效负载。
我们对 Google Meet 变体的 Fiddler 流量捕获显示了响应标头:
内容处置:附件;文件名=“teramind_agent_x64_s-i(__06a23f815bc471c82aed60b60910b8ec1162844d).msi”。
变体之间的基础设施差异
一个二进制,多个身份。安装程序如何读取自己的文件名
属性更改:添加 TMROUTER 属性。它的值为“rt.teramind.co”。