Un faux site Zoom installe discrètement le logiciel de surveillance Teramind

Des chercheurs de Malwarebytes ont découvert un site frauduleux imitant une salle d’attente Zoom qui installe silencieusement un logiciel de surveillance sur les ordinateurs Windows. Les victimes, attirées par un lien de réunion Zoom, atterrissent sur uswebzoomus.com/zoom/, une page convaincante reproduisant l’interface de visioconférence. Quelques instants plus tard, un compte à rebours « Mise à jour disponible » déclenche le téléchargement automatique d’un installateur malveillant, sans demander d’autorisation. Ce logiciel provient d’une version modifiée de Teramind, un outil commercial légitime utilisé par les entreprises pour surveiller l’activité des employés sur leurs postes de travail. Teramind enregistre les frappes au clavier, capture des captures d’écran à intervalles réguliers, suit les sites visités, les applications lancées, le presse-papiers, ainsi que l’activité des e-mails et fichiers. De nombreux antivirus pourraient ne pas le détecter, car il ressemble à une application légitime. Les acteurs malveillants exploitent ainsi la confiance des employés envers les invitations Zoom, souvent envoyées par phishing via e-mail ou SMS. La page frauduleuse affiche trois faux participants, Matthew Karlsson, James Whitmore et Sarah Chen, qui rejoignent la « réunion » avec des sons d’alerte authentiques, tandis qu’une boucle audio de conversation tourne en fond. Elle ne s’active qu’en cas d’interaction réelle de l’utilisateur, évitant ainsi les outils de scan automatisés. Un avertissement permanent « Problème de réseau » masque l’écran principal, ce qui est codé en dur dans le site. Malwarebytes recommande de vérifier les liens de réunion (doivent mener à zoom.us) et de considérer tout ordinateur ayant visité le site comme compromis. Les responsables de la sécurité doivent renforcer la formation des employés contre ces pièges rapides, où l’installation ne prend que trente secondes.