Oszustwa, informacje o zagrożeniach

Fałszywa „aktualizacja” spotkania Zoom po cichu instaluje oprogramowanie szpiegowskie

autor: Stefan Dasic | 24 lutego 2026 r.
powiększone logo na tle przedstawiającym trójkąt ostrzegawczy

Fałszywa strona internetowa poświęcona spotkaniom Zoom po cichu instaluje oprogramowanie szpiegowskie na Windows . Odwiedzający trafiają na przekonującą imitację wideorozmowy Zoom. Chwilę później automatyczne odliczanie „Dostępna aktualizacja” powoduje pobranie złośliwego instalatora — bez pytania o zgodę.

Instalowane oprogramowanie to ukryta wersja Teramind, komercyjnego narzędzia monitorującego, którego firmy używają do rejestrowania działań pracowników na komputerach służbowych. W ramach tej kampanii jest ono potajemnie instalowane na komputerach zwykłych osób, które sądziły, że dołączają do spotkania.

Fałszywa strona internetowa Zoom
Fałszywa strona internetowa Zoom

Cała operacja rozpoczyna się na stronie uswebzoomus[.]com/zoom/, która otwiera się jako poczekalnia Zoom. W momencie załadowania strony, wysyła ona dyskretnie wiadomość do atakujących, informując ich, że ktoś się pojawił.

Trzech fikcyjnych uczestników – „Matthew Karlsson”, „James Whitmore” i „Sarah Chen” – dołącza do rozmowy jeden po drugim, a każdy z nich jest zapowiadany przez autentycznie brzmiący sygnał dźwiękowy Zoom. Ich rozmowa jest odtwarzana w pętli w tle.

Strona zachowuje się inaczej, jeśli nikt nie wchodzi z nią w interakcję. Sekwencja audio i spotkanie rozpoczynają się dopiero po kliknięciu lub wpisaniu tekstu przez prawdziwą osobę. Zautomatyzowane narzędzia bezpieczeństwa, które skanują podejrzane strony bez interakcji, mogą nie wykryć niczego niezwykłego.

Nad głównym okienkiem wideo wyświetlane jest stałe ostrzeżenie „Problem z siecią”. Nie jest to błąd: strona jest tak zaprogramowana, aby zawsze je wyświetlać. Przerywany dźwięk i opóźnienia wideo są całkowicie zamierzone i służą konkretnemu celowi psychologicznemu. Odwiedzający, który doświadcza problemów z połączeniem, naturalnie zakłada, że coś jest nie tak z aplikacją. Kiedy chwilę później pojawia się komunikat „Dostępna aktualizacja”, wydaje się, że problem został rozwiązany.

Odliczanie, o które nikt nie prosił

Dziesięć sekund po pojawieniu się ekranu spotkania pojawia się wyskakujące okienko: „Dostępna aktualizacja — nowa wersja jest dostępna do pobrania”. Obraca się ikonka, a licznik odlicza od pięciu do zera. Nie ma przycisku zamykania.

W tym momencie odwiedzający ma już za sobą frustrującą rozmowę telefoniczną pełną zakłóceń — i aktualizacja oprogramowania jest dokładnie tym, czego oczekuje. Wyskakujące okienko nie jest dla niego zaskoczeniem, ale odpowiedzią na jego potrzeby.

Gdy licznik osiągnie zero, przeglądarka otrzymuje polecenie cichego pobrania pliku. W tym samym momencie strona przełącza się na coś, co wygląda jak sklep Microsoft Store, pokazujący „Zoom Workplace” w trakcie instalacji, z wirującym ikoną i wszystkim. Podczas gdy odwiedzający obserwuje coś, co wygląda na legalną instalację rozwiązującą problem, prawdziwy instalator już trafił do folderu Pobrane — i nie poprosił o zgodę w żadnym momencie.

Aktualizacja Zoom z Teramind w środku

Pobrany plik nosi nazwę zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi. Jest to standardowy format Windows . Jego unikalny cyfrowy odcisk palca to 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

Sama nazwa pliku jest wymowna: ciąg znaków s-i(__) jest własną konwencją nazewniczą firmy Teramind dla instalatora instancji ukrytej, a znak hash po nim identyfikuje konkretne konto Teramind kontrolowane przez atakującego, do którego agent będzie przesyłał raporty.

Analiza bezpieczeństwa zawartości pliku ujawniła dwa szczególnie wymowne fragmenty tekstu ukryte w jego wnętrzu: wersję agenta 26.3.3403 oraz pole oznaczone jako „Server IP” lub „host name”. Pola te potwierdzają, że instalator został wstępnie skonfigurowany do połączenia się z serwerem Teramind kontrolowanym przez atakującego.

Instalator działa przez Windows bez wyświetlania typowego interaktywnego interfejsu instalacyjnego. Cel, który jest ustawiany jako cel nadzoru, nie ma pojęcia, że to się dzieje.

Zaprojektowany, aby być niewidocznym

Wewnątrz wewnętrznych plików instalatora — notatek pozostałych po procesie tworzenia oprogramowania, które zazwyczaj są widoczne tylko dla autorów oprogramowania — nazwa folderu out_stealth pojawia się w ścieżce kompilacji. Nie jest to przypadek. Teramind sprzedaje dedykowaną opcję wdrażania w „trybie ukrytym”, zaprojektowaną specjalnie tak, aby agent działał bez widocznej obecności: bez ikony na pasku zadań, bez wpisu w zasobniku systemowym, bez śladu na liście zainstalowanych programów.

W tej wersji Windows plik MSI firmy Teramind domyślnie nadaje nazwę plikowi binarnemu agenta. dwm.exe i instaluje go pod ProgramData\{GUID} katalogu. Zachowanie to jest udokumentowane przez dostawcę i można je zmienić za pomocą TMAGENTEXE parametr instalatora.

Podczas instalacji oprogramowanie montuje się etapami. Kilka komponentów Teramind jest rozpakowywanych do katalogów tymczasowych podczas instalacji. Te pliki pośrednie nie są indywidualnie podpisane, co czasami może wywołać działanie narzędzi bezpieczeństwa podczas analizy. Łańcuch instalacyjny najpierw sprawdza, czy Teramind jest już zainstalowany na komputerze, a następnie zbiera informacje o nazwie komputera, aktualnym koncie użytkownika, języku klawiatury i ustawieniach regionalnych systemu. Są to dane potrzebne Teramind do identyfikacji urządzenia i rozpoczęcia raportowania aktywności do osoby, która je wdrożyła.

Agent jest skonfigurowany do komunikacji ze zdalną instancją serwera Teramind, zgodnie z wdrożeniami monitorowania w przedsiębiorstwie.

Zaprojektowany, aby oszukać narzędzia, które mogłyby go wykryć.

Jednym z najbardziej przemyślanych aspektów tego instalatora jest to, jak bardzo stara się on uniknąć analizy. Badacze bezpieczeństwa sprawdzają podejrzane oprogramowanie w kontrolowanych środowiskach „sandbox” (w zasadzie są to odizolowane maszyny wirtualne, na których oprogramowanie może działać bezpiecznie, będąc jednocześnie obserwowane). Ten instalator został stworzony tak, aby wykrywać właśnie taką sytuację i zachowywać się inaczej.

Flagi analizy czasu wykonywania wskazują obecność logiki wykrywania debugowania i środowiska (DETECT_DEBUG_ENVIRONMENT). Instalator przeprowadza kontrole zgodne z identyfikacją analizy lub środowiskami piaskownicy i może zmienić swoje zachowanie w tych warunkach.

Po zakończeniu instalacji instalator usuwa swoje pliki tymczasowe i foldery przejściowe. Oznacza to, że do czasu sprawdzenia komputera przez użytkownika oczywiste ślady instalatora mogą już zniknąć. Sam agent monitorujący nadal jednak działa w tle.

Dlaczego Teramind sprawia, że ta kampania jest wyjątkowo niebezpieczna?

Teramind jest legalnym produktem. Firmy płacą za niego, aby monitorować pracowników korzystających z urządzeń należących do firmy: rejestruje on każde naciśnięcie klawisza, wykonuje zrzuty ekranu w regularnych odstępach czasu, rejestruje odwiedzane strony internetowe i otwierane aplikacje, przechwytuje zawartość schowka oraz śledzi aktywność związaną z pocztą elektroniczną i plikami.

W kontekście korporacyjnym, gdy pracownicy są poinformowani i obowiązują odpowiednie zasady, jest to legalne. Ta sama funkcja, zainstalowana potajemnie na komputerze osobistym, to zupełnie inna sprawa.

Atakujący nie stworzyli własnego złośliwego oprogramowania. Wykorzystali profesjonalnie opracowany produkt komercyjny, który działa niezawodnie i pozostaje aktywny nawet po ponownym uruchomieniu komputera. Dzięki temu jest on bardziej wytrzymały niż wiele tradycyjnych rodzajów złośliwego oprogramowania.

Ponieważ same pliki należą do legalnego oprogramowania, tradycyjne narzędzia antywirusowe, które wyszukują wyłącznie znane złośliwe kody, mogą ich nie wykrywać. Kontekst ma znaczenie. Gdy oprogramowanie monitorujące jest instalowane bez zgody użytkownika na urządzeniu osobistym, zalicza się ono do kategorii często określanej jako stalkerware — oprogramowanie służące do monitorowania innych osób bez ich wiedzy.

Co zrobić, jeśli możesz być narażony na ryzyko

Jeśli odwiedziłeś stronę uswebzoomus[.]com/zoom/ i pobrałeś plik o powyższej nazwie:

Nie otwieraj tego.

Jeśli już go uruchomiłeś, potraktuj swoje urządzenie jako zainfekowane.

Sprawdź folder instalacyjny:

  1. Otwórz Eksploratora plików.
  2. Przejdź do C:\ProgramData.
  3. Poszukaj folderu o nazwie {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

ProgramData jest domyślnie ukryty. W Eksploratorze plików wybierz opcję Widok i włącz opcję„Ukryte elementy”.

Sprawdź, czy usługa działa:

  1. Otwórz wiersz polecenia jako administrator.
  2. Typ: sc query tsvchst
  3. Naciśnij Enter.

Jeśli to pokazuje STATE: 4 RUNNING, agent jest aktywny. Jeśli usługa nie istnieje, oznacza to, że nie została zainstalowana przy użyciu domyślnej konfiguracji.

Zmień hasła do ważnych kont — poczty elektronicznej, bankowości i pracy — z innego, czystego urządzenia.

Jeśli miało to miejsce na komputerze służbowym, skontaktuj się natychmiast z działem IT lub zespołem ds. bezpieczeństwa.

Aby uniknąć podobnych ataków w przyszłości:

  • Otwórz Zoom bezpośrednio z aplikacji na swoim urządzeniu.
  • Wpisz adres zoom.us w przeglądarce samodzielnie, zamiast klikać nieoczekiwane linki.
  • Zachowaj ostrożność w przypadku linków, których nie oczekiwałeś.

Podsumowanie

Istnieje cicha, ale rosnąca tendencja, że osoby atakujące sięgają po legalne oprogramowanie komercyjne zamiast tworzyć własne. Narzędzia takie jak Teramind trafiają na komputer z wiarygodnością produktu prawdziwej firmy — i właśnie ta wiarygodność sprawia, że są one przydatne dla osób, które wdrażają je bez pozwolenia.

Ta kampania nie opiera się na zaawansowanych technikach. Nie użyto żadnych nowych technik hakerskich. Atakujący stworzył przekonującą fałszywą stronę Zoom, ustawił automatyczne pobieranie plików, zanim odwiedzający mieli powód, by coś podejrzewać, i użył fałszywego ekranu Microsoft Store, żeby wszystko wyjaśnić. Od kliknięcia do instalacji mija mniej niż trzydzieści sekund. Ktoś, kto czekał na zaproszenie do Zoom i zobaczył coś, co wyglądało jak instalacja Microsoftu, mógł łatwo odejść, myśląc, że nic niezwykłego się nie stało.

Zoom jest często podrabiany, ponieważ ludzie otrzymują linki do spotkań za pośrednictwem poczty elektronicznej, SMS-ów, Slacka i zaproszeń kalendarzowych — i szybko je klikają. Poświęcenie pięciu sekund na sprawdzenie, czy link naprawdę prowadzi do zoom.us, to prosty nawyk, który może zapobiec poważnym problemom.

Wskaźniki kompromisu (IOC)

Skróty plików (SHA-256)

  • 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa

Domeny

  • uswebzoomus[.]com

Identyfikator instancji Teramind

  • 941afee582cc71135202939296679e229dd7cced

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

AI
Logo OpenClaw

OpenClaw: Co to jest i czy można z niego bezpiecznie korzystać?

Luty 23, 2026

OpenClaw to obecnie gorący temat. Ale czym jest i jak można bezpiecznie korzystać z tego działającego przez całą dobę asystenta AI?

Aktualności
zapamiętywanie haseł

Menedżery haseł zapewniają bezpieczeństwo Twoich haseł, chyba że…

Luty 23, 2026

Naukowcy zbadali twierdzenia dotyczące zerowej wiedzy menedżerów haseł i odkryli kilka możliwych scenariuszy ataku.

Aktualności
tydzień w bezpieczeństwie

Tydzień w bezpieczeństwie (16 lutego – 22 lutego)

Luty 23, 2026

Lista tematów, które poruszyliśmy w tygodniu od 16 do 22 lutego 2026 r.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa