Фалшиви Zoom ъпдейти инсталират корпоративен шпионски софтуер

Picture of Здравко Боджов
Здравко Боджов
Зловреден код

Потребители на Windows, които наскоро са участвали във видеоконференции чрез Zoom, са станали жертва на измамна кампания, при която фалшиви ъпдейти тихо инсталират корпоративен шпионски софтуер на техните устройства. Този софтуер позволява на нападателите да наблюдават всяка активност на компютъра – включително натискания на клавиши, скрийншотове, история на браузъра, използване на приложения, съдържание на клипборда, както и имейл и файлови операции. Нито един от популярните антивирусни продукти не засича инсталацията.

Кампанията започва със създаването на фалшив сайт, имитиращ Zoom, с адрес uswebzoomus[.]com. Жертвите попадат в имитация на Zoom среща, където се появяват фалшиви участници и се чува фонов разговор, но аудиото е накъсано, а видеото закъснява. След около 10 секунди се появява предупреждение за „Network Issue“, което подтиква потребителя да изтегли ъпдейт.

Какво представлява инсталираният софтуер

Инсталационният пакет, наречен zoom_agent_x64 с размер 103.8 MB, съдържа предварително конфигуриран Teramind, софтуер, използван от компании за мониторинг на служители. В този случай агентът е настроен да комуникира със сървър под контрола на нападателите, а не на IT екипа.

Софтуерът се инсталира чрез Windows Installer, без интерактивен интерфейс и без видими икони или записи в системата, което го прави невидим за потребителя. Teramind използва специален „stealth mode“, който позволява на агентите да работят без следи, като проверява дали се изпълнява в sandbox среда и адаптира поведението си. След приключване на инсталацията временните файлове се изтриват, но агентът продължава да работи на заден план.

Защо антивирусите не го засичат

Опасността идва от това, че легитимен софтуер се използва за злонамерени цели. Антивирусните програми, които се фокусират върху познат злонамерен код, не могат да засекат инсталацията на Teramind, дори когато се използва като stalkerware.

Препоръки за защита и проверка на устройствата

Malwarebytes препоръчва на потребителите да проверят компютъра за инсталиране на Teramind чрез активиране на „Hidden items“ във File Explorer и проверка на папка C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A} или чрез наблюдение на текущо работещи услуги.

Всеки, който е участвал във фалшиви Zoom срещи и е „ъпдейтнал“ приложението, трябва незабавно да смени паролите на важни акаунти и да почисти устройството.

#Teramind, # Windows, # Zoom, # киберсигурност, # шпионски софтуер
e-security.bg

Подобни

Китайска APT група е шпионирала Microsoft 365 среди повече от 18 месеца
8.06.2026
china_TY_Lim_shutterstock
IronWorm: нова supply-chain атака в npm
5.06.2026
npm
HTTP/2 Bomb: DoS атака може да срине сървъри за секунди
5.06.2026
cyber-security-3480163_960_720
Китайска ATP атаките си към ЕС с нов зловреден софтуер и Atlas RAT
4.06.2026
china
ИИ ускорява разработката на рансъмуер
4.06.2026
ransomware-Zoonar_GmbH-alamy
DriveSurge компрометира хиляди сайтове чрез ClickFix и FakeUpdates
3.06.2026
geralt-digitization-5194814_640

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Българските торент сайтове продължават да изчезват
27.02.2026
pirate-flag-7541041_640
Изземване на Zamunda, Arena и други торент сайтове
30.01.2026
seizure
Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Bitdefender пусна безплатен инструмент за проверка на телефонни номера
12.12.2025
telephoneAlamy