🗓️ Contexte

Article publié le 30 mars 2026 par Sublime Threat Intelligence & Research, dans le cadre de leur série « Attack Spotlight ». L’article décrit une campagne de phishing par email détectée via Google Workspace, exploitant l’usurpation de la marque Zoom.

🎯 Déroulement de l’attaque

L’attaque débute par un email d’invitation Zoom falsifié, dont le style suggère une génération par IA. Le bouton « Start Meeting » redirige vers le domaine malveillant zoom-meeting.yourco-invite[.]live au lieu des domaines officiels Zoom.

La chaîne d’infection comprend plusieurs étapes :

  • Vérification CAPTCHA simulant un contrôle Cloudflare
  • Détection du système d’exploitation : l’attaque s’arrête si la cible n’est pas sous Windows
  • Fausse salle d’attente Zoom avec informations sur la réunion (durée, participants)
  • Fausse réunion Zoom interactive entièrement construite en JavaScript (probablement généré par IA), avec simulation de problèmes réseau et audio haché
  • Pop-up « Update Available » suivi d’une redirection vers une fausse page Microsoft Store

📦 Payload

La page tente de télécharger automatiquement le fichier ZoomUpdateInstaller.msi. Ce fichier installe ScreenConnect (outil d’administration à distance légitime) configuré avec des paramètres permettant à l’adversaire de prendre le contrôle du système cible. Des instructions post-téléchargement guident la victime pour exécuter l’installateur.

🔍 Capacités avancées de personnalisation

La simulation étant basée sur JavaScript et non une vidéo enregistrée, elle est interactive et facilement modifiable :

  • Noms des participants remplaçables par ceux de contacts réels (via réseaux sociaux)
  • Fichiers audio remplaçables par des voix générées par IA imitant des personnes connues

🚨 Signaux de détection identifiés

  • Domaine de destination (zoom-meeting.yourco-invite[.]live) sans lien avec les domaines officiels Zoom
  • Structure de l’URL (/inc/Windows/zoom) ciblant spécifiquement Windows
  • Email envoyé depuis un compte Gmail (fournisseur gratuit) et non un compte d’entreprise

📄 Nature de l’article

Il s’agit d’une analyse technique publiée par un éditeur de sécurité (Sublime), visant à documenter une campagne active et à illustrer les capacités de détection de leur plateforme.

🧠 TTPs et IOCs détectés

TTP

  • T1566.002 — Phishing: Spearphishing Link (Initial Access)
  • T1204.002 — User Execution: Malicious File (Execution)
  • T1036.005 — Masquerading: Match Legitimate Name or Location (Defense Evasion)
  • T1218.007 — System Binary Proxy Execution: Msiexec (Defense Evasion)
  • T1219 — Remote Access Software (Command and Control)
  • T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

IOC

  • Domaines : zoom-meeting.yourco-invite.liveVT · URLhaus · ThreatFox
  • URLs : https://zoom-meeting.yourco-invite.live/inc/Windows/zoomURLhaus
  • Fichiers : ZoomUpdateInstaller.msi

Malware / Outils

  • ScreenConnect (rat)

🟡 Indice de confiance : 50/100 (moyenne)

  • ⬜ proxied2.sublime.security — source non référencée (0pts)
  • ✅ 4310 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 3 IOCs (IPs/domaines/CVEs) (10pts)
  • ⬜ 0/2 IOCs confirmés externellement (0pts)
  • ✅ 7 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://proxied2.sublime.security/blog/advanced-fake-zoom-installer-used-for-delivering-malware