Falsi inviti Zoom distribuiscono software di sorveglianza silenziosa: come proteggersi

Falsi inviti Zoom distribuiscono software di sorveglianza silenziosa: come proteggersi

Attenzione: una nuova minaccia si nasconde dietro gli inviti Zoom

Un’ondata di attacchi sofisticati sta colpendo utenti Windows attraverso false pagine di riunioni Zoom. Questi siti contraffatti scaricano automaticamente software di sorveglianza che monitora ogni attività sul tuo computer senza che tu te ne accorga. Se hai ricevuto di recente un invito a una riunione Zoom via email o SMS, leggi attentamente questa guida prima di cliccare su qualsiasi link.

La soluzione rapida

Se sospetti di essere stato compromesso:

  1. Usa un dispositivo diverso e pulito per cambiare tutte le tue password importanti (email, banca, social media)
  2. Cerca la cartella nascosta C:\ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A} sul tuo computer
  3. Contatta immediatamente il tuo team IT aziendale se utilizzi il dispositivo per lavoro
  4. Considera il tuo dispositivo compromesso e valuta una formattazione completa

Come funziona l’inganno

I criminali hanno creato un’esperienza visiva estremamente convincente per attirare le vittime. Quando visiti la pagina falsa, il sito è progettato per assomigliare perfettamente a una sala d’attesa di Zoom. Una volta che interagisci con la pagina, tre partecipanti finti compaiono uno dopo l’altro, creando l’illusione di una riunione reale.

I dettagli psicologici dell’attacco sono particolarmente sofisticati:

  • Audio in loop continuo che si ripete in sottofondo
  • Avviso permanente di “Problema di rete” sopra il video principale
  • Audio scadente e video in ritardo deliberatamente, per far sembrare che qualcosa non funzioni correttamente

Questo crea la situazione perfetta per il momento cruciale: quando compare un avviso di “Aggiornamento disponibile”, sembra naturale che l’utente voglia installarlo per risolvere i problemi tecnici.

Il download silenzioso

L’avviso di aggiornamento non può essere chiuso e mostra un contatore che scende da cinque a zero. Quando il conto alla rovescia termina, la pagina cambia aspetto e simula il Microsoft Store mostrando “Zoom Workplace” durante l’installazione. A questo punto, il browser scarica automaticamente un file senza chiedere alcun permesso.

Il file scaricato si chiama zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi, ma non è Zoom: è un installatore per Teramind, un software di monitoraggio legittimo utilizzato dalle aziende per tracciare l’attività dei dipendenti.

Cosa fa il software di sorveglianza

Teramind è un prodotto commerciale professionale progettato per:

  • Catturare screenshot di tutto ciò che fai
  • Registrare ogni tasto che digiti (keystroke logging)
  • Acquisire il contenuto degli appunti (clipboard)
  • Tracciare l’attività generale del dispositivo

Normalmente, questo software è utilizzato legittimamente dalle aziende. Nel nostro caso, però, è stato preconfigurato per inviare tutti i dati a un account Teramind controllato dagli attaccanti.

L’invisibilità del malware

Ciò che rende questo attacco particolarmente pericoloso è la capacità di rimanere completamente invisibile:

  • Non appare nell’elenco dei programmi installati di Windows
  • Non ha icone nella barra delle applicazioni
  • Non è visibile nel system tray
  • Si avvia automaticamente all’accensione del computer
  • Elimina i file temporanei dopo l’installazione per non lasciare tracce

Gli attaccanti hanno scelto deliberatamente di non sviluppare malware personalizzato. Utilizzando un software commerciale affidabile, garantiscono che il programma:

  • Funzioni in modo stabile senza crash
  • Persista attraverso i riavvii del sistema
  • Sia più durevole rispetto ai malware tradizionali
  • Non venga rilevato dai tradizionali antivirus

L’assenza di rilevamento

Al momento della scoperta, nessun fornitore di sicurezza su VirusTotal ha contrassegnato questo installatore Teramind come malevolo. Microsoft Defender non lo rileva come minaccioso, rendendo l’attacco ancora più insidioso.

Chi è a rischio

Le campagne di attacco tramite false riunioni virtuali stanno colpendo sia dipendenti aziendali che consumatori privati. I criminali utilizzano questi strumenti per:

  • Raccogliere informazioni sulle operazioni aziendali
  • Compromettere account di dirigenti e direttori finanziari
  • Indurre i dipendenti a trasferire fondi
  • Ottenere accesso non autorizzato alle reti aziendali

Misure di protezione

Per i dipendenti:

  • Segnala immediatamente il possibile compromesso al tuo team IT o di sicurezza
  • Non aprire allegati o cliccare su link di riunioni ricevuti via email non verificate
  • Verifica sempre direttamente con il mittente prima di partecipare a riunioni

Per i consumatori:

  • Considera il tuo dispositivo come compromesso se hai eseguito l’installatore
  • Cambia tutte le password importanti da un dispositivo diverso e pulito
  • Cerca la cartella nascosta C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A}
  • Valuta una formattazione completa del disco come soluzione più sicura

Technical Deep Dive

Analisi tecnica della campagna

La campagna rappresenta un’evoluzione significativa negli attacchi di social engineering. Secondo i dati rilevati, il primo rilevamento del minaccia è avvenuto l’11 febbraio 2026 sulla piattaforma Microsoft Defender. La prevalenza globale del file era di circa 1.437 istanze, indicando una diffusione considerevole in breve tempo.

Dettagli del file malevolo

L’installer MSI utilizza tecniche sofisticate per evitare il rilevamento:

  • Authenticode stuffing: Gli attaccanti inseriscono configurazioni malevole direttamente nel certificato digitale del file, mantenendo la firma digitale apparentemente legittima
  • Persistenza attraverso auto-avvio: Il software si configura per avviarsi automaticamente all’accensione del sistema
  • Eliminazione delle tracce: Dopo l’installazione, il programma elimina i file e le cartelle temporanee create durante il processo

Vettore di attacco multi-piattaforma

I ricercatori hanno documentato campagne correlate che distribuiscono trojan RAT (Remote Access Trojan) attraverso:

  • Siti fake di Skype, Google Meet e Zoom con URL simili ai siti ufficiali
  • Script BAT malevoli su Windows che scaricano RAT come DCRat e NjRAT
  • Fake installer APK su Android che si comportano come trojan
  • Malware ScreenConnect modificato con technique di authenticode stuffing

Implicazioni per la sicurezza

L’uso di software commerciale legittimo come vettore di attacco rappresenta una sfida significativa per i sistemi di difesa tradizionali. Poiché il software è progettato per funzionare in modo affidabile e persistente, gli antivirus convenzionali faticano a identificarlo come minaccioso.

Le organizzazioni dovrebbero implementare:

  • Monitoraggio comportamentale per rilevare attività sospette di Teramind
  • Analisi del traffico di rete per identificare connessioni non autorizzate
  • Whitelisting applicativo per controllare quali software possono essere eseguiti
  • Educazione sulla sicurezza per ridurre il successo degli attacchi di social engineering

Fonte: https://www.helpnetsecurity.com/2026/02/25/fake-zoom-meeting-teramind-surveillance-software/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto