在COVID-19疫情发生后，视频会议变得更为普及，其中Zoom是最常见的平台。然而，近期有人假借软件更新的名义，在受害电脑中暗中部署合法的监控工具，从而在用户不知情的情况下进行追踪。

安全公司Malwarebytes揭露了一起针对Windows系统的社会工程攻击。黑客建立了模仿Zoom界面的网站，一旦用户点击虚假链接，误以为进入会议，页面会显示等待室并播放虚假的参与者加入提示音，使用户误以为已连接到视频会议。不久后，网页会显示网络异常的提示，播放断断续续的声音和延迟的画面。几分钟后，页面会出现“有更新可用”的提示，并弹出一个带有倒计时动画的窗口，自动下载并安装一个程序包到电脑。

值得注意的是，即使用户未点击“允许”，安装文件仍会悄悄下载到电脑，并在未经用户授权的情况下自动运行，最终在受害设备上植入合法的远程监控工具Teramind。该工具可记录用户的全部键盘输入、定期截取屏幕截图、记录访问过的网站和打开的应用程序、获取剪贴板内容，并追踪电子邮件和文件活动。

为了增强欺骗性，黑客还会在屏幕上显示另一个Microsoft Store页面，模拟正在安装Zoom Workplace更新的界面。此外，攻击者让Teramind以隐蔽模式运行，电脑上不会显示任何相关图标，也不会出现任何图形界面。Malwarebytes强调，此次攻击并未使用传统恶意软件，而是利用了合法的商业工具。这类工具运行稳定，且常规杀毒软件难以检测和拦截，使得此次攻击更具隐蔽性和危险性。