详细内容或原文请订阅后点击阅览
假视频会议诱骗用户安装 RMM 工具
据 Netskope 的研究人员称,威胁行为者正在使用 Zoom、Microsoft Teams、Google Meet 和其他视频会议应用程序的虚假会议邀请来诱骗用户安装远程监控和管理 (RMM) 工具。
来源:KnowBe4 _恶意软件据 Netskope 的研究人员称,威胁行为者正在使用 Zoom、Microsoft Teams、Google Meet 和其他视频会议应用程序的虚假会议邀请来诱骗用户安装远程监控和管理 (RMM) 工具。
这些邀请会导致令人信服的虚假视频会议登陆页面,并附有据称已经加入通话的同事列表。该页面指示用户安装软件更新才能加入视频会议。
“有效负载伪装成软件更新,是一种经过数字签名的远程监控和管理 (RMM) 工具,例如 Datto RMM、LogMeIn 或 ScreenConnect,”研究人员写道。 “这些工具使攻击者能够远程访问受害者的计算机并获得对其端点的完全管理控制,这可能导致数据盗窃或部署更具破坏性的恶意软件。”
由于会议似乎已经开始,用户更有可能忽略危险信号并快速安装虚假更新。
“当受害者尝试加入通话时,他们会收到一条通知,表明他们的应用程序已过期或不兼容,”Netskope 说。 “要继续,受害者必须下载并执行提供的‘更新’,然后才能加入。通过将恶意有效负载构建为合法业务任务的关键技术修复,攻击者增加了用户手动绕过安全警告以避免错过会话的可能性。”
这些 RMM 工具具有合法用途并经过数字签名,因此它们更有可能逃避安全工具的检测。
“通过部署合法的、数字签名的 RMM 工具而不是定制恶意软件,攻击者可以融入标准的企业流量,”研究人员写道。 “这些工具可以在企业环境中预先批准,允许攻击者绕过基于签名的安全控制并获得持久的管理立足点,而无需立即发出警报。”