Мошенничество, угрозы

Поддельное «обновление» Zoom Meeting незаметно устанавливает программное обеспечение для слежения

Автор: Стефан Дасич | 24 февраля 2026 г.
Логотип Zoom на фоне с изображением предупреждающего треугольника

Поддельный веб-сайт Zoom meeting незаметно устанавливает программное обеспечение для слежения на Windows . Посетители попадают на убедительную имитацию видеозвонка Zoom. Через несколько секунд автоматический обратный отсчет «Доступно обновление» загружает вредоносный установщик без запроса разрешения.

Устанавливаемое программное обеспечение представляет собой скрытую версию Teramind, коммерческого инструмента мониторинга, который компании используют для записи действий сотрудников на рабочих компьютерах. В рамках этой кампании оно незаметно устанавливается на компьютеры обычных людей, которые думали, что присоединяются к совещанию.

Поддельный веб-сайт Zoom
Поддельный веб-сайт Zoom

Вся операция начинается на сайте uswebzoomus[.]com/zoom/, который открывается как комната ожидания Zoom. Как только он загружается, он незаметно отправляет сообщение злоумышленникам, сообщая им, что кто-то пришел.

Три заранее подготовленных фальшивых участника — «Мэтью Карлссон», «Джеймс Уитмор» и «Сара Чен» — поочередно присоединяются к звонку, и каждый из них сопровождается звуком подключения к Zoom, который звучит вполне правдоподобно. Их разговор повторяется в фоновом режиме.

Страница ведет себя по-другому, если никто с ней не взаимодействует. Аудио и последовательность встреч начинаются только после того, как реальный человек нажмет или напечатает что-либо. Автоматизированные инструменты безопасности, которые сканируют подозрительные страницы без взаимодействия, могут не обнаружить ничего необычного.

Над основной видеоплиткой постоянно отображается предупреждение «Проблема с сетью». Это не сбой: страница запрограммирована так, чтобы всегда отображать это предупреждение. Прерывистый звук и задержки видео являются полностью преднамеренными и служат определенной психологической цели. Посетитель, который сидит и ждет, пока восстановится соединение, естественно, предположит, что с приложением что-то не так. Когда через несколько секунд появляется сообщение «Доступно обновление», это воспринимается как исправление проблемы.

Обратный отсчет, о котором никто не просил

Через десять секунд после появления экрана встречи появляется всплывающее окно: «Доступно обновление — новая версия доступна для загрузки». Вращается индикатор и счетчик отсчитывает от пяти до нуля. Кнопки закрытия нет.

К этому моменту посетитель уже пережил разочаровывающий разговор с техническими проблемами, и обновление программного обеспечения — это именно то, что он хочет. Всплывающее окно появляется не как сюрприз, а как ответ.

Когда счетчик достигает нуля, браузер получает команду незаметно загрузить файл. В этот же момент страница переключается на то, что похоже на Microsoft Store, где отображается «Zoom Workplace» в процессе установки, с вращающимся индикатором и всем остальным. Пока посетитель наблюдает за тем, что выглядит как легитимная установка, решающая проблему, реальный установщик уже попал в папку «Загрузки» — и ни разу не запросил разрешения.

Обновление Zoom с Teramind внутри

Загруженный файл называется zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced) (1).msi. Это стандартный формат Windows . Его уникальный цифровой отпечаток: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa.

Само название файла говорит само за себя: строка s-i(__) — это собственное обозначение Teramind для скрытого установщика экземпляра, с хэшем после него, идентифицирующим конкретную учетную запись Teramind, контролируемую злоумышленником, которой агент будет отправлять отчеты.

Анализ безопасности содержимого файла выявил два особенно показательных фрагмента текста, скрытых внутри него: версия агента 26.3.3403 и поле с названием «IP-адрес сервера или имя хоста». Эти поля подтверждают, что установщик был предварительно настроен на подключение к серверу Teramind, контролируемому злоумышленниками.

Установщик запускается через Windows без отображения типичного интерактивного интерфейса установки для пользователя. Объект, который настраивается в качестве объекта наблюдения, не имеет представления о том, что это происходит.

Создан, чтобы быть невидимым

Внутри внутренних файлов сборки установщика — заметки, оставшиеся от процесса разработки, которые обычно видны только авторам программного обеспечения — имя папки out_stealth появляется в пути сборки. Это не совпадение. Teramind продает специальную опцию развертывания «стелс-режим», специально разработанную для того, чтобы агент работал без видимого присутствия: без значка на панели задач, без записи в системном трее, без следов в списке установленных программ.

В этой версии Windows MSI Teramind по умолчанию присваивает бинарному файлу агента имя dwm.exe и устанавливает его под ProgramData\{GUID} каталог. Это поведение задокументировано поставщиком и может быть изменено с помощью TMAGENTEXE параметр установщика.

Во время установки программное обеспечение собирается поэтапно. Несколько компонентов Teramind распаковываются во временные каталоги во время установки. Эти промежуточные файлы не подписываются индивидуально, что иногда может вызвать срабатывание инструментов безопасности во время анализа. Цепочка установки сначала проверяет, установлен ли Teramind на компьютере, а затем собирает информацию об имени компьютера, текущей учетной записи пользователя, языке клавиатуры и локализации системы. Эта информация необходима Teramind для идентификации устройства и отправки отчетов о его активности лицу, которое его установило.

Агент настроен на связь с удаленным экземпляром сервера Teramind в соответствии с развертыванием систем мониторинга в предприятии.

Разработан, чтобы обмануть инструменты, которые могли бы его обнаружить

Одним из наиболее продуманных аспектов этого установщика является то, как он старается избежать анализа. Исследователи в области безопасности проверяют подозрительное программное обеспечение в контролируемой среде «песочницы» (по сути, изолированные виртуальные машины, на которых программное обеспечение может безопасно работать под наблюдением). Этот установщик создан для того, чтобы обнаруживать именно такую ситуацию и вести себя по-другому.

Флаги анализа времени выполнения указывают на наличие логики отладки и обнаружения среды (DETECT_DEBUG_ENVIRONMENT). Установщик выполняет проверки, соответствующие идентификационному анализу или средам песочницы, и может изменять свое поведение в этих условиях.

По завершении установки программа удаляет временные файлы и промежуточные папки. Это означает, что к моменту проверки компьютера очевидные следы установки могут уже исчезнуть. Однако сам агент мониторинга продолжает работать в фоновом режиме.

Почему Teramind делает эту кампанию необычайно опасной

Teramind — это легальный продукт. Компании платят за него, чтобы контролировать сотрудников, использующих устройства, принадлежащие компании: он регистрирует каждое нажатие клавиши, делает скриншоты через регулярные промежутки времени, записывает, какие веб-сайты были посещены и какие приложения были открыты, захватывает содержимое буфера обмена и отслеживает активность электронной почты и файлов.

В корпоративном контексте, когда сотрудники проинформированы и действуют соответствующие политики, это законно. Та же самая функция, установленная тайно на личном компьютере, — это совсем другое дело.

Злоумышленники не писали собственное вредоносное ПО. Они использовали профессионально разработанный коммерческий продукт, который предназначен для надежной работы и сохранения после перезагрузки. Это делает его более устойчивым, чем многие традиционные виды вредоносного ПО.

Поскольку сами файлы принадлежат легальному программному обеспечению, традиционные антивирусные инструменты, которые ищут только известный вредоносный код, могут не обнаружить их. Контекст имеет значение. Когда программное обеспечение для мониторинга устанавливается без согласия на личное устройство, оно попадает в категорию, часто описываемую как «сталкер-программа» — программное обеспечение, используемое для мониторинга кого-либо без его ведома.

Что делать, если вы могли быть затронуты

Если вы посетили сайт uswebzoomus[.]com/zoom/ и был загружен файл с вышеуказанным именем:

Не открывайте его.

Если вы уже запустили его, считайте свое устройство скомпрометированным.

Проверьте папку установки:

  1. Откройте проводник.
  2. Перейти к C:\ProgramData.
  3. Найдите папку с именем {4CEC2908-5CE4-48F0-A717-8FC833D8017A}.

ProgramData по умолчанию скрыт. В проводнике выберите «Просмотр » и включите«Скрытые элементы».

Проверьте, работает ли служба:

  1. Откройте командную строку от имени администратора.
  2. Тип: sc query tsvchst
  3. Нажмите Enter.

Если отображается STATE: 4 RUNNING, агент активен. Если служба отсутствует, она не была установлена с использованием конфигурации по умолчанию.

Измените пароли для важных учетных записей — электронной почты, банковских счетов и рабочих учетных записей — с другого, чистого устройства.

Если это произошло на рабочем компьютере, немедленно обратитесь в службу IT или службу безопасности.

Чтобы избежать подобных атак в будущем:

  • Откройте Zoom прямо из приложения на вашем устройстве.
  • Введите zoom.us в браузере самостоятельно, вместо того чтобы нажимать на неожиданные ссылки.
  • Будьте осторожны с ссылками, которых вы не ожидали увидеть.

Заключительные мысли

Существует тихая, но растущая тенденция, когда злоумышленники предпочитают использовать легальное коммерческое программное обеспечение, а не создавать собственное. Такие инструменты, как Teramind, попадают на компьютер, обладая авторитетом продукта реальной компании, и именно этот авторитет делает их полезными для тех, кто использует их без разрешения.

Эта кампания не опирается на техническую сложность. Не было использовано никаких новых хакерских методов. Злоумышленник создал убедительную поддельную страницу Zoom, настроил автоматическую загрузку, которая запускалась до того, как посетитель мог заподозрить неладное, и использовал поддельный экран Microsoft Store, чтобы все объяснить. От клика до установки проходит менее тридцати секунд. Человек, который ждал приглашение в Zoom и увидел то, что выглядело как установка Microsoft, мог легко уйти, полагая, что ничего необычного не произошло.

Zoom часто подделывают, потому что люди получают ссылки на встречи по электронной почте, в текстовых сообщениях, в Slack и в приглашениях календаря — и быстро на них нажимают. Потратить пять секунд на подтверждение, что ссылка действительно ведет на zoom.us, — это простая привычка, которая может предотвратить серьезную проблему.

Индикаторы компромисса (ИКС)

Хеши файлов (SHA-256)

  • 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa

Домены

  • uswebzoomus[.]com

Идентификатор экземпляра Teramind

  • 941afee582cc71135202939296679e229dd7cced

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

AI
Логотип OpenClaw

OpenClaw: что это такое и можно ли его безопасно использовать?

Февраль 23, 2026

OpenClaw — это сейчас горячая тема. Но что это такое и как можно безопасно использовать круглосуточного помощника с искусственным интеллектом?

Новости
запоминание паролей

Менеджеры паролей обеспечивают безопасность ваших паролей, за исключением случаев, когда…

Февраль 23, 2026

Исследователи изучили заявления о нулевом разглашении информации, сделанные разработчиками менеджеров паролей, и обнаружили несколько возможных сценариев атак.

Новости
неделя безопасности

Неделя в сфере безопасности (16 февраля – 22 февраля)

Февраль 23, 2026

Список тем, которые мы освещали в течение недели с 16 по 22 февраля 2026 года

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы