Netskope Threat Labs ha identificato una serie di campagne di phishing che sfruttano falsi inviti a riunioni su piattaforme ampiamente utilizzate in ambito aziendale, tra cui Zoom, Microsoft Teams e Google Meet, per distribuire payload, mascherato da aggiornamento software. Questa esca sfrutta l’urgenza della vittima di partecipare a una chiamata programmata, indirizzandola a una pagina di phishing.
Gli attaccanti replicano pagine di accesso alle videoconferenze in modo realistico, mostrando presunti partecipanti e creando domini con errori di battitura (es. zoom-meet.us) per aumentare la credibilità dell’esca. L’obiettivo è indurre la vittima a credere che sia necessario installare un presunto aggiornamento software per partecipare alla riunione.
Quando l’utente scarica l'”aggiornamento”, viene in realtà eseguito un agente di Remote Monitoring and Management (RMM) con firma digitale, basato su strumenti legittimi come Datto RMM, LogMeIn o ScreenConnect, rinominati per sembrare coerenti con la piattaforma di videoconferenza. Poiché si tratta di software legittimo e firmato, spesso già approvato in ambito aziendale, gli attaccanti riescono a bypassare i controlli di sicurezza tradizionali.
Una volta installato, l’agente consente agli aggressori di ottenere accesso remoto con privilegi amministrativi, eseguire comandi, trasferire file e muoversi lateralmente nella rete, aprendo la strada a furto di dati o ulteriori attacchi come la distribuzione di ransomware.
Le organizzazioni sono invitate a rafforzare il controllo sugli inviti alle riunioni, verificare i domini sospetti, monitorare l’installazione non autorizzata di strumenti di accesso remoto e sensibilizzare gli utenti sugli aggiornamenti richiesti al di fuori dei canali ufficiali.
https://www.netskope.com/blog/attackers-weaponize-signed-rmm-tools-via-zoom-meet-teams-lures
