Zoom giả mạo “cập nhật” âm thầm cài phần mềm giám sát, biến máy Windows thành mục tiêu theo dõi
Một trang web giả mạo phòng chờ Zoom đang dụ người dùng “cập nhật Zoom”, rồi tự động tải về file cài đặt mà không hỏi quyền. File này thực chất là phiên bản bị lạm dụng của công cụ giám sát hợp pháp (dùng trong doanh nghiệp), có thể ghi lại hoạt động trên máy nạn nhân và gửi dữ liệu về máy chủ của kẻ tấn công.
Zoom giả mạo “cập nhật” âm thầm cài phần mềm giám sát, biến máy Windows thành mục tiêu theo dõi
Một trang web giả mạo phòng chờ Zoom đang lợi dụng tâm lý “họp gấp, cần vào ngay” để dụ người dùng bấm cập nhật. Thay vì cập nhật Zoom thật, trang này âm thầm khiến trình duyệt tải về một file cài đặt và hướng nạn nhân tin rằng mọi thứ đang diễn ra bình thường. Kết quả là máy Windows có thể bị cài phần mềm giám sát, cho phép kẻ xấu theo dõi hoạt động của người dùng.
Chiêu trò thường bắt đầu từ một liên kết trông rất giống Zoom. Khi người dùng mở trang, giao diện hiển thị như đang ở phòng chờ (waiting room) và đồng thời “báo” cho kẻ tấn công biết có người vừa truy cập. Trang còn dựng sẵn vài “người tham gia” giả, phát tiếng “join meeting” giống Zoom và lặp âm thanh hội thoại nền để tạo cảm giác cuộc họp đang diễn ra. Đáng chú ý là phần “cuộc họp” chỉ chạy khi người dùng có tương tác (click hoặc gõ phím), khiến nhiều hệ thống quét tự động mở trang nhưng không thao tác có thể không thấy dấu hiệu bất thường.
Trên màn hình thường có cảnh báo kiểu “Network Issue” (lỗi mạng), nhưng đây không phải lỗi thật mà là thiết kế có chủ đích để làm người dùng tin rằng Zoom đang trục trặc. Khi nạn nhân đã khó chịu vì cuộc gọi lag/giật, một thông báo “Update Available” (có bản cập nhật) xuất hiện sẽ trông hợp lý như “cách để sửa lỗi”. Pop-up cập nhật đi kèm đếm ngược và hầu như không cho lựa chọn rõ ràng để đóng. Khi đếm ngược về 0, trình duyệt bị điều khiển để tải xuống một file .MSI vào máy. Ngay sau đó, trang lại chuyển sang giao diện giống Microsoft Store đang cài “Zoom Workplace”, khiến nạn nhân tưởng đang cài đặt hợp lệ, trong khi file cài thật đã nằm trong thư mục Downloads.
Theo phân tích của Malwarebytes Labs, file tải về là một phiên bản bị lạm dụng của Teramind, vốn là sản phẩm hợp pháp để doanh nghiệp giám sát thiết bị công ty. Malwarebytes cũng lưu ý Teramind không liên quan đến nhóm tấn công và không cho phép triển khai theo cách này. Điểm nguy hiểm là phần mềm kiểu này có thể ghi lại thao tác người dùng (bao gồm phím bấm), chụp ảnh màn hình theo chu kỳ, theo dõi website/app đã mở, thu thập dữ liệu clipboard và nhiều dấu vết hoạt động khác. Trong môi trường doanh nghiệp có thông báo và chính sách rõ ràng, việc giám sát có thể hợp pháp. Nhưng khi bị cài lén trên máy cá nhân hoặc thiết bị không có sự đồng thuận, nó mang tính chất spyware/stalkerware vì mục đích theo dõi.
Chiến dịch này đáng ngại ở chỗ kẻ tấn công không cần viết “mã độc mới” theo kiểu truyền thống. Thay vào đó, chúng tận dụng một phần mềm thương mại: ổn định, chạy nền bền bỉ, và đôi khi khó bị chặn nếu hệ thống phòng thủ chỉ dựa vào chữ ký mã độc điển hình. Malwarebytes cũng mô tả bộ cài có những dấu hiệu nhằm né phân tích (sandbox/debug) và sau khi chạy có thể dọn dẹp các dấu vết cài đặt tạm thời.
Nếu bạn nghi ngờ đã dính bẫy, điều quan trọng nhất là đừng mở file vừa tải về nếu nó chưa chạy. Nếu lỡ chạy rồi, hãy coi thiết bị đã bị xâm nhập và xử lý ngay: kiểm tra các dấu hiệu cài đặt theo cấu hình được nêu trong bài gốc như thư mục C:\ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A} (lưu ý ProgramData thường bị ẩn nên cần bật “Hidden items” trong File Explorer), và kiểm tra service bằng lệnh sc query tsvchst trong Command Prompt chạy quyền admin. Sau đó, đổi mật khẩu các tài khoản quan trọng (email, ngân hàng, tài khoản công việc) trên một thiết bị sạch. Nếu đây là máy công ty, cần báo ngay cho bộ phận IT/An ninh để họ khoanh vùng và xử lý theo quy trình.
Cách phòng tránh đơn giản nhưng hiệu quả là hạn chế bấm link họp lạ, đặc biệt là các lời mời bạn không mong đợi qua email/SMS/Slack/calendar. Khi cần họp Zoom, hãy mở trực tiếp từ ứng dụng hoặc tự gõ tên miền chính thống thay vì tin vào trang “phòng chờ” không rõ nguồn. Chỉ cần dành vài giây kiểm tra domain trước khi tải file cũng có thể giúp tránh các kịch bản bị cài phần mềm giám sát kiểu này.
Các chỉ dấu kỹ thuật (IOC) được Malwarebytes công bố để đối chiếu gồm:
domain:
uswebzoomus[.]com
SHA-256:
644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa
Teramind Instance ID:
941afee582cc71135202939296679e229dd7cced