24 февраля 2026 года мы опубликовали статью о том, какподдельное «обновление» Zoom тихо устанавливает программное обеспечение для мониторинга, в которой описали кампанию, в ходе которой использовалась убедительная поддельная комната ожидания Zoom для установки легитимного установщика Teramind, который был использован для несанкционированного наблюдения за Windows . Компания Teramind заявила, что не имеет отношения к описанным злоумышленникам, не развертывала упомянутое программное обеспечение и осуждает любое несанкционированное использование коммерческих технологий мониторинга.
После публикации наших выводов о вредоносном домене было сообщено его регистратору доменных имен Namecheap, который подтвердил, что приостановил предоставление услуг. Несмотря на закрытие, наш постоянный мониторинг показывает, что кампания не только продолжается, но и расширяется: в настоящее время мы выявили параллельную операцию, имитирующую Google Meet, которая осуществляется с другого домена и инфраструктуры.
В этой статье мы предоставим более глубокий технический анализ обоих вариантов, каталогизируя использование идентификаторов экземпляров Teramind мошенниками, которые мы непосредственно наблюдали или собрали из репозиториев песочниц, задокументируем наше практическое взрывание установщика в контролируемой среде и ответим на вопрос, который возник в ходе нашего исследования: Как один и тот же пакетWindows может обслуживать несколько разных учетных записей злоумышленников?
Кампания расширяется на Google Meet
В то время как оригинальный сайт на тему Zoom по адресу uswebzoomus[.]com был удален Namecheap после получения сообщений от сообщества, второй сайт по адресу googlemeetinterview[.]click активно развертывает ту же самую полезную нагрузку, используя идентичный сценарий, адаптированный для Google Meet.
Вариант Google Meet представляет собой поддельную страницу Microsoft Store под названием «Google Meet for Meetings», опубликованную «Google Meet Video Communications, Inc», которая является вымышленной организацией. Кнопка «Начало загрузки...» отображается, пока файл MSI незаметно доставляется по пути /Windows/download.php. Страница, на которую ссылается, находится по адресу /Windows/microsoft-store.php, подтверждая, что поддельный экран Microsoft Store обслуживается инфраструктурой злоумышленника, а не Microsoft.
Наш Fiddler-захват трафика варианта Google Meet показывает заголовок ответа:
Content-Disposition: attachment; filename="teramind_agent_x64_s-i(__06a23f815bc471c82aed60b60910b8ec1162844d).msi".
В отличие от варианта Zoom, где имя файла было замаскировано под компонент Zoom, этот вариант даже не пытается скрыть использование Teramind мошенником в имени файла. Мы проверили, что оба файла идентичны байт за байтом (MD5: AD0A22E393E9289DEAC0D8D95D8118B5), что подтверждает, что в обеих кампаниях используется один и тот же двоичный файл, в котором изменено только имя.
Различия в инфраструктуре между вариантами
Несмотря на использование одинаковой полезной нагрузки, эти два варианта размещены на разной инфраструктуре. Вариант Zoom на uswebzoomus[.]com работала на Apache/2.4.58 (Ubuntu) и была зарегистрирована через Namecheap 16 февраля 2026 года. Вариант Google Meet на googlemeetinterview[.]click работает на сервере LiteSpeed.
Оба сервиса предоставляют загрузку через PHP-скрипты и используют одну и ту же поддельную схему перенаправления Microsoft Store, но смена веб-сервера и регистратора домена указывает на то, что оператор предвидел блокировку и заранее подготовил резервную инфраструктуру.
Один бинарный файл, множество идентичностей. Как программа установки считывает собственное имя файла
В ходе нашего расследования мы выявили 14 различных имен файлов MSI, имеющих одинаковый хеш SHA-256. Два из них были непосредственно захвачены из вредоносной инфраструктуры в ходе нашего анализа доменов вредоносных программ: вариант Zoom с uswebzoomus[.]com и вариант Google Meet с googlemeetinterview[.]click. Остальные имена файлов были получены из репозиториев песочницы.
Важно отметить, что некоторые из этих имен файлов, полученных из песочницы, могут представлять собой законные корпоративные развертывания Teramind, а не вредоносную деятельность. Teramind — это коммерческий продукт, имеющий законные варианты использования в предприятиях, и файлы, отправленные в службы песочницы, не обязательно указывают на злоупотребление. Тем не менее, все они имеют одинаковый двоичный код и демонстрируют одинаковый механизм настройки на основе имени файла.
Все файлы имеют одинаковый хеш SHA-256: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425faЭто сразу же вызвало вопрос: если идентификатор экземпляра Teramind меняется с каждым именем файла, но двоичный файл идентичен байт за байтом, то где же на самом деле хранится идентификатор?
Ответ кроется в пользовательском действии .NET, встроенном в MSI. Наш поведенческий анализ показывает следующую последовательность:
Calling custom action Teramind.Setup.Actions!Teramind.Setup.Actions.CustomActions.ReadPropertiesFromMsiName
PROPERTY CHANGE: Modifying TMINSTANCE property. Its current value is 'onsite'. Its new value: '__941afee582cc71135202939296679e229dd7cced'.
PROPERTY CHANGE: Adding TMROUTER property. Its value is 'rt.teramind.co'.
MSI поставляется с предустановленным TMINSTANCE значение onsite. Это стандартное значение по умолчанию для локальной установки Teramind. При установке ReadPropertiesFromMsiName пользовательское действие анализирует собственное имя файла установщика, извлекает 40-символьную шестнадцатеричную строку из s-i(__) часть и перезаписывает значение по умолчанию на идентификатор экземпляра, специфичный для злоумышленника.
В журнале также отображается сообщение Failed to get router from msi name— это означает, что программа установки пыталась извлечь адрес сервера C2 из имени файла, но не смогла этого сделать. В этом случае используется значение по умолчанию. rt.teramind.co, который предварительно настроен внутри MSI. Однако TMROUTER является открытым свойством MSI, что означает, что оно может быть переопределено во время установки или изменено в другой сборке. Имя файла в этой кампании содержит только идентификатор экземпляра; место назначения C2 определяется конфигурацией MSI по умолчанию.
Живая детонация: что на самом деле делает установщик в реальной системе
Чтобы выйти за рамки поведенческого анализа на основе песочницы, мы запустили установщик MSI в изолированной виртуальной машине Windows с включенной подробной регистрацией MSI, ApateDNS для перехвата DNS и Fiddler для мониторинга сети. Этот практический анализ выявил несколько критических поведенческих особенностей, которые не были заметны в автоматических отчетах песочницы.
Цепочка установки и шлюз CheckHosts
Установщик MSI последовательно выполняет четыре настраиваемых действия .NET, все из которых выполняются с помощью WiX Toolset. zzzzInvokeManagedCustomActionOutOfProc механизм:
- ReadPropertiesFromMsiName: Анализирует собственное имя файла MSI, чтобы извлечь идентификатор экземпляра Teramind, и перезаписывает значение по умолчанию.
onsiteзначение - CheckAgent:определяет, установлен ли агент Teramind на компьютере.
- ValidateParams:Проверяет извлеченные параметры конфигурации
- CheckHosts: Выполняет проверку подключения к серверу C2 перед полетом.
rt.teramind.co
Сайт CheckHosts действие является жестким ограничением: если установщик не может подключиться к серверу Teramind, установка прерывается с кодом ошибки 1603. Наша первоначальная попытка взрыва в виртуальной машине, изолированной от сети, провалилась именно на этом этапе:
TM: TMINSTANCE = __941afee582cc71135202939296679e229dd7cced
TM: TMROUTER = rt.teramind.co
CustomAction CheckHosts returned actual error code 1603
Это поведение важно по двум причинам. Во-первых, оно раскрывает адрес сервера C2: rt.teramind.co. Во-вторых, это означает, что жертвы в корпоративных сетях с ограничительным DNS или исходящей фильтрацией могут быть непреднамеренно защищены. Установщик молчаливо завершит работу, если не сможет связаться с сервером во время установки. Однако MSI поддерживает TMSKIPSRVCHECK свойство, которое может обойти эту проверку, и его значением по умолчанию является no.
Для завершения нашего анализа мы добавили rt.teramind.co в файл Windows , указывающий на localhost, что позволило успешно выполнить разрешение DNS и пройти проверку CheckHosts. После этого установка была успешно завершена.
Подтвержден режим скрытности
Журнал успешной установки подтверждает то, что предполагалось в исходной статье: в этой сборке по умолчанию включен скрытый режим Teramind (называемый Hidden Agent, вариант развертывания, который работает незаметно в фоновом режиме). Дамп свойств MSI показывает:
Property(S): TMSTEALTH = 1
Это подтверждает, что агент устанавливается без значка на панели задач, без записи в системном трее и без видимой записи в списке Windows . Жертва не имеет визуальных признаков того, что программное обеспечение для мониторинга работает.
Две услуги, а не одна
Журнал установки показывает, что кампания развертывает две постоянные службы, а не только одну, описанную в нашей первоначальной статье:
| Название услуги | Отображаемое имя | Двоичный | Тип запуска |
|---|---|---|---|
| tsvchst | Хост службы | svc.exe –service | Автоматический (запуск) |
| pmon | Монитор производительности | pmon.exe | Ручное (по требованию) |
Оба названия услуг выбраны так, чтобы вписаться в обстановку: tsvchst имитирует легитимную Windows svchost.exe шаблон именования, в то время как pmon с отображаемым именем «Монитор производительности» имитирует встроенный монитор Windows . Оба работают как LocalSystem, самый высокий уровень привилегий на Windows .
Обе службы настроены на агрессивное восстановление после сбоев: перезапуск при первом сбое, перезапуск при втором сбое и перезапуск при последующих сбоях с задержкой 160 секунд (tsvchst) и 130 секунд (pmon). Это означает, что даже если пользователь или инструмент безопасности завершает работу службы, она автоматически перезапускается в течение нескольких минут.
Наблюдается обратный вызов Live C2
Сразу после установки ApateDNS зафиксировал звонок агента домой. DNS-запросы для rt.teramind.co появились в течение нескольких секунд после запуска службы, что подтверждает, что агент немедленно начинает цикл обратных вызовов. Запросы повторялись с интервалом примерно в 11 секунд, демонстрируя постоянную схему опроса.
В реальной ситуации, когда у жертвы есть подключение к Интернету, они будут подключаться к инфраструктуре Teramind, и агент начнет передавать захваченные данные.
Полная конфигурация MSI
Подробный журнал установки отображает все настраиваемые параметры, которые MSI поддерживает через свой SecureCustomProperties список. Это показывает полную конфигурацию установщика:
TMSTEALTH— Режим скрытности (в этой сборке установлен на 1)
TMINSTANCE— Идентификатор учетной записи (извлеченный из имени файла)
TMROUTER— Адрес сервера C2 (жестко задан как rt.teramind.co)
TMENCRYPTION— Переключатель шифрования связи C2
TMSOCKSHOST / TMSOCKSPORT / TMSOCKSUSER / TMSOCKSPASSWORD— Встроенная поддержка SOCKS5-прокси для туннелирования трафика C2 через прокси-серверы
TMHTTPPROXY— Поддержка HTTP-прокси
TMSKIPSRVCHECK— Пропустить предварительную проверку подключения C2
TMNODRV / TMNOFSDRV— Отключить драйверы фильтров ядра
TMNOIPCCLIPBOARD— Переключение мониторинга буфера обмена
TMNOREMOTETS— Переключатель удаленного мониторинга терминальных служб
TMHASHUSERNAMES— Анонимизация/хеширование захваченных имен пользователей
TMDISABLESCREEN— Отключить захват скриншотов
TMADDENTRYTOARP— Добавить/удалить запись из «Установка и удаление программ» (отключено в режиме скрытого действия)
TMCRASHUPLOADURL— Конечная точка загрузки телеметрических данных о сбоях
TMREVEALEDPASSWORDLESS— Переключатель для функции раскрытия без пароля
Особого внимания заслуживает поддержка прокси SOCKS5. Это означает, что агент можно настроить так, чтобы все данные наблюдения пропускались через прокси, контролируемый злоумышленником, что значительно затрудняет обнаружение на сетевом уровне, маскируя трафик C2 под легитимный трафик прокси.
Наблюдаемые идентификаторы экземпляров Teramind
В следующей таблице перечислены все имена файлов MSI и соответствующие им идентификаторы экземпляров Teramind, которые мы собрали. Два из них были непосредственно обнаружены в ходе нашего собственного анализа доменов вредоносных программ: вариант Zoom (941afee…7cced, захваченный с uswebzoomus[.]com) и вариант Google Meet (06a23f8…2844d, захваченный с googlemeetinterview[.]click). Остальные имена файлов были получены из репозиториев песочниц.
Как отмечено выше, некоторые из них могут представлять собой законные корпоративные развертывания, а не злонамеренное использование. Все файлы имеют одинаковый хеш SHA-256. Два имени файлов имеют одинаковый идентификатор экземпляра c0cea71…0a6d7, что указывает на использование одной и той же учетной записи злоумышленника для нескольких вариантов имени файла.
| Имя файла MSI | Идентификатор экземпляра |
|---|---|
zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced).msi | 941afee582cc71135202939296679e229dd7cced |
ZoomApp_agent_x64_s-i(__fca21db2bb0230ee251a503b021fe02d2114d1f0).msi | fca21db2bb0230ee251a503b021fe02d2114d1f0 |
945bd48ad7552716f4583_s-i(__d72c88943945bd48ad7552716f4583ada0b7c2a6).msi | d72c88943945bd48ad7552716f4583ada0b7c2a6 |
teramind_agent_x64_s-i(__572d85bb94f4f59ef947c3faf42677f9adb223c3).msi | 572d85bb94f4f59ef947c3faf42677f9adb223c3 |
file_agent_x64_s-i(__f76fee1df21e19d93d5842f50c375286477b3f6c).msi | f76fee1df21e19d93d5842f50c375286477b3f6c |
teramind_agent_x64_s-i(__653d105a51cc886dede8101d1b0cd02e20329546).msi | 653d105a51cc886dede8101d1b0cd02e20329546 |
e411293f92e8730f717_s-i(__c0cea713de411293f92e8730f71759aa1890a6d7).msi | c0cea713de411293f92e8730f71759aa1890a6d7 |
0154299765aa7b198bce97d8361_s-i(__c0cea713de411293f92e8730f71759aa1890a6d7).msi | c0cea713de411293f92e8730f71759aa1890a6d7 |
GoogleMeet_agent_x64_s-i(__ab28818c0806ce7996c10c59b0e4e5d102783461).msi | ab28818c0806ce7996c10c59b0e4e5d102783461 |
teramind_agent_x64_s-i(__5ca3d9dd35249200363946b1f007b59f88dbde39).msi | 5ca3d9dd35249200363946b1f007b59f88dbde39 |
file_agent_x64_s-i(__81c39bed817fc9989834c81352cb7f69b94342da).msi | 81c39bed817fc9989834c81352cb7f69b94342da |
GoogleMeet_agent_x64_s_i_94120be3942474019852c62041d2f373fdb11a0e.msi | 94120be3942474019852c62041d2f373fdb11a0e |
AdobeReader_agent_x64_s-i(__d57d34e76cc8c2c883cbdcb42a14c47d00be03c0).msi | d57d34e76cc8c2c883cbdcb42a14c47d00be03c0 |
teramind_agent_x64_s-i(__06a23f815bc471c82aed60b60910b8ec1162844d).msi | 06a23f815bc471c82aed60b60910b8ec1162844d |
Примечательно разнообразие префиксов имен файлов: zoom_agent, ZoomApp_agent, GoogleMeet_agent, AdobeReader_agent, teramind_agent, и file_agentЭто позволяет предположить, что кампания выходит за рамки поддельных видеоконференций.
Однако вариант с брендом AdobeReader был обнаружен только в репозиториях песочницы и, вероятно, представляет собой тестирование или запланированное расширение, а не активное развертывание. Имена файлов с общими префиксами, такими как teramind_agent и file_agent, также, по-видимому, являются отправками из песочницы, в которых сохранены стандартные имена, а не брендовые приманки для социальной инженерии.
Индикаторы компрометации
Хеши файлов
SHA-256: 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa
MD5: AD0A22E393E9289DEAC0D8D95D8118B5
Домены
- uswebzoomus[.]com (вариант Zoom: удален Namecheap)
- googlemeetinterview[.]click (вариант Google Meet: активен по состоянию на 26.02.2026)
Рекомендации по обнаружению и защите
- Предупреждение о каталоге ProgramData GUID
{4CEC2908-5CE4-48F0-A717-8FC833D8017A}. Этот GUID является фиксированным для всех наблюдаемых вариантов.
- Запрос для обеих служб:
sc query tsvchstиsc query pmon. Работа на некорпоративном компьютере подтверждает активное наблюдение.
- Следите за загрузкой драйверов ядра:
tm_filter.sysиtmfsdrv2.sysзагрузка на личные компьютеры должна вызывать предупреждения высокой степени серьезности.
- Блокировка выполнения MSI из каталогов загрузок браузера. Оба варианта полагаются на то, что пользователь запускает MSI из папки «Загрузки». Политики контроля приложений, которые предотвращают выполнение MSI из путей, доступных для записи пользователем, остановили бы эту цепочку атак.
- Обучите сотрудников: никогда не обновляйте приложения, нажимая на ссылки в сообщениях. Используйте встроенный механизм обновления приложения или перейдите на официальный сайт поставщика вручную.
- Внедрите политики браузера, которые предупреждают о автоматической загрузке файлов с неизвестных доменов или блокируют ее.
Удаление
Чтобы удалить агент, выполните следующую команду от имени администратора: msiexec /x {4600BEDB-F484-411C-9861-1B4DD6070A23} /qb. Это удаляет службы, драйверы ядра и большинство установленных файлов. Однако наши тесты подтвердили, что деинсталлятор не удаляет полностью каталог ProgramData из-за файлов, созданных во время работы программы. После удаления вручную удалите все остатки с помощью rmdir /s /q "C:\ProgramData\{4CEC2908-5CE4-48F0-A717-8FC833D8017A}" и перезагрузитесь, чтобы полностью выгрузить драйверы ядра из памяти.
Заключение
Эта кампания демонстрирует злоупотребление законным коммерческим программным обеспечением для мониторинга. Злоумышленники не писали собственное вредоносное ПО. Вместо этого они взяли готовый продукт для мониторинга, использовали его встроенный скрытый режим и систему настройки на основе имен файлов, а затем облекли все это в социальную инженерию, призванную использовать доверие к таким брендам, как Zoom и Google Meet.
Расширение на Google Meet, а также дополнительные варианты из песочницы, включая файл с именем AdobeReader, указывают на то, что это развивающаяся операция, которая может расшириться и подражать другим приложениям.
Наша практическая детонация выявила детали, невидимые для автоматизированных песочниц: CheckHosts Ворота C2 перед вылетом, rt.teramind.co адрес маршрутизатора, второй pmon служба, маскирующаяся под Performance Monitor, подтвержденная TMSTEALTH = 1 флаг и полная функциональность SOCKS5-прокси для обхода C2. Тот факт, что один бинарный файл обслуживает неограниченное количество учетных записей злоумышленников посредством простого переименования файла, делает эту кампанию легко масштабируемой.
Благодарности
Мы хотели бы поблагодарить исследователя в области безопасности @JAMESWT_WT за оперативное сообщение о первоначальном вредоносном домене Namecheap, что привело к его закрытию. uswebzoomus[.]com.
Компания Teramind заявила, что не участвовала в этой кампании. Поскольку Teramind является легальным коммерческим продуктом, он не помечается программным обеспечением для обеспечения безопасности, а это означает, что мы не имеем представления о том, привела ли эта кампания к реальным заражениям. Мы можем подтвердить, что инфраструктура, которую мы задокументировали, включая специально созданные фишинговые домены, имитирующие Zoom и Google Meet, поддельные страницы Microsoft Store и агент Teramind, настроенный в скрытом режиме, соответствует кампании, предназначенной для установки программного обеспечения для мониторинга на компьютеры целей без их ведома или согласия.
