Pojavila se sofisticirana phishing kampanja koja iskorištava popularnost Zoom sastanaka, ciljajući korporativne korisnike lažnim pozivnicama za sastanke koje izgledaju kao da dolaze od kolega.
Napad koristi taktike socijalnog inženjeringa kako bi stvorio osjećaj hitnosti, potičući žrtve da kliknu na maliciozne linkove ugrađene u naizgled legitimne e-poruke.
Nakon klika, ovi linkovi usmjeravaju korisnike kroz obmanjujući niz podataka osmišljen za prikupljanje podataka za prijavu na Zoom.
Phishing e-poruke su kreirane tako da podsjećaju na službena obavještenja o Zoom sastancima , sa poznatim brendiranjem, formatiranjem i jezikom koji sugeriše da je potreban trenutni odgovor.
Poruke obično sadrže hitne naslove poput „Propušteni Zoom poziv“ ili „Hitan zahtjev za sastanak“ kako bi se izazvali brzi i nepromišljeni odgovori zauzetih profesionalaca koji žongliraju s više komunikacija tokom svog radnog dana.
Klikom na ugrađeni link, žrtve se preusmjeravaju na uvjerljivu repliku Zoom interfejsa za sastanke koji prikazuje ono što izgleda kao kolege koje čekaju u video konferenciji.
Ovo stvara iluziju legitimnog sastanka u toku, dodajući psihološki pritisak da se brzo pridružite.
Istraživači SpiderLabsa su identifikovali ovu kampanju 19. maja 2025. godine, ističući njenu posebnu efikasnost zbog implementacije unaprijed snimljenih video elemenata koji simuliraju stvarno okruženje sastanka.
„Ovaj napad predstavlja evoluciju u tehnikama krađe identiteta, koristeći dinamične vizualne elemente za prevladavanje skepticizma korisnika“, izvijestio je sigurnosni tim u svom početnom savjetovanju.
Sofisticirani mehanizam infekcije
Tok napada prati pažljivo osmišljen proces u pet faza. Nakon što prime phishing e-poštu , žrtvama koje kliknu na zlonamjerni link prikazuje se ekran za učitavanje koji oponaša Zoomov interfejs.
.webp)
Stranica zatim prelazi na prikaz unaprijed snimljenog videa “učesnika” na sastanku, stvarajući uvjerljivu iluziju konferencijskog poziva uživo.
Ubrzo nakon toga, korisnici primaju lažnu obavijest o prekidu veze, nakon čega slijedi lažni upit za prijavu osmišljen za preuzimanje kredencijala.
Infrastruktura napada koristi više domena, s početnim praćenjem putem poddomena cirrusinsight.com i stranica za sastanke hostovanih na servisima r2.dev.
Analiza mrežnog prometa otkriva da se ukradeni akreditivi prenose putem krajnjih tačaka Telegram API-ja, što omogućava napadačima da prikupljaju informacije o žrtvama u stvarnom vremenu, a istovremeno održavaju operativnu sigurnost putem uobičajenih komunikacijskih kanala koji često zaobilaze sigurnosne kontrole.
Izvor: CyberSecurityNews
