Cuộc tấn công bắt đầu khi nạn nhân truy cập trang uswebzoomus[.]com/zoom/, được thiết kế giống hệt phòng chờ của Zoom. Ngay khi trang tải xong, hệ thống âm thầm gửi tín hiệu về máy chủ do kẻ tấn công kiểm soát. Ba người tham gia giả gồm “Matthew Karlsson”, “James Whitmore” và “Sarah Chen” lần lượt xuất hiện cùng âm thanh thông báo quen thuộc và đoạn hội thoại lặp lại phía sau để tạo cảm giác chân thực.
Kịch bản này chỉ kích hoạt khi có tương tác thực từ người dùng. Các hệ thống quét tự động không nhấp chuột sẽ không ghi nhận dấu hiệu bất thường. Theo phân tích của Malwarebytes công bố ngày 24/2/2026, chiến dịch được xây dựng xoay quanh yếu tố thao túng tâm lý thay vì kỹ thuật quá phức tạp.
Trên giao diện cuộc gọi giả, thông báo “Network Issue” được cố định sẵn nhằm tạo cảm giác lỗi kết nối. Âm thanh giật lag và hình ảnh đóng băng khiến người dùng tin rằng ứng dụng đang gặp sự cố. Khoảng 10 giây sau, cửa sổ bật lên xuất hiện với nội dung “Update Available” kèm đồng hồ đếm ngược 5 giây và không có tùy chọn đóng.
Khi bộ đếm kết thúc, trình duyệt tự động tải xuống một tệp cài đặt độc hại. Đồng thời, trang web hiển thị màn hình giả mạo Microsoft Store cho thấy “Zoom Workplace” đang được cài đặt nhằm đánh lạc hướng, trong khi tệp thực sự đã xuất hiện trong thư mục Downloads mà không có cảnh báo bảo mật nào.
Tệp zoom_agent_x64_s-i(__941afee582cc71135202939296679e229dd7cced)(1).msi có mã băm SHA 256 là 644ef9f5eea1d6a2bc39a62627ee3c7114a14e7050bafab8a76b9aa8069425fa. Tại thời điểm phát hiện, Microsoft Defender chưa cảnh báo tệp này trên VirusTotal, khiến người dùng không nhận được tín hiệu rủi ro rõ ràng.
Thông tin bên trong gói cài đặt cho thấy nó được xây dựng ở chế độ stealth, thể hiện qua thư mục out_stealth trong cấu trúc biên dịch. Sau khi được thực thi thông qua Windows Installer, agent thu thập tên máy, tài khoản người dùng đang hoạt động, ngôn ngữ bàn phím và thiết lập vùng hệ thống rồi gửi dữ liệu về máy chủ Teramind do kẻ tấn công kiểm soát.
Tệp nhị phân của agent mặc định mang tên dwm.exe và được cài vào thư mục C:\ProgramData{4CEC2908-5CE4-48F0-A717-8FC833D8017A}. Trình cài đặt còn tích hợp cơ chế phát hiện môi trường phân tích như sandbox bằng kỹ thuật debug environment detection. Nếu nghi ngờ đang bị theo dõi, nó có thể thay đổi hành vi để né tránh công cụ bảo mật. Sau khi hoàn tất, các tệp tạm thời bị xóa để giảm dấu vết.
Agent tiếp tục hoạt động âm thầm, ghi lại thao tác bàn phím, chụp màn hình, theo dõi hoạt động web, clipboard và các tệp được truyền tải. Do đây là thành phần của một sản phẩm thương mại hợp pháp, nhiều giải pháp antivirus dựa trên chữ ký có thể không coi là mã độc.
Trước nguy cơ lây nhiễm âm thầm và khó bị phát hiện, các đơn vị quản trị cần chủ động bổ sung mã băm SHA 256 và domain uswebzoomus[.]com vào danh sách chặn. Người dùng từng truy cập trang giả không nên mở tệp đã tải. Nếu đã chạy trình cài đặt, thiết bị cần được xem là đã bị xâm nhập. Cần kiểm tra thư mục ẩn trong C:\ProgramData, xác minh dịch vụ tsvchst có đang hoạt động hay không và thay đổi toàn bộ mật khẩu từ một thiết bị sạch. Các sự cố liên quan đến công việc phải báo ngay cho bộ phận IT hoặc an ninh.
Để phòng tránh, người dùng nên mở Zoom từ ứng dụng đã cài đặt sẵn, tự gõ zoom.us trên trình duyệt và thận trọng với mọi liên kết họp bất ngờ trước khi nhấp vào.
