Zoom-phishingcampagne: hoe cybercriminelen SSA-waarschuwingen vervalsen en misbruik maken van ConnectWise ScreenConnect

Januari 30, 2026
Kaseya
Phishing

De phishingaanvallen van vandaag maken steeds vaker misbruik van vertrouwde SaaS-platforms, bekende samenwerkingstools en legitieme IT-software om zich in het volle zicht te verbergen. Door zich te mengen in de dagelijkse bedrijfsworkflows en gebruik te maken van diensten users vertrouwen, maken aanvallers detectie moeilijker, omzeilen ze security en vergroten ze de kans op succes aanzienlijk. Het volgende incident is een voorbeeld van hoe deze 'living-off-the-land'-aanpak wordt gebruikt om op grote schaal zeer overtuigende phishingcampagnes uit te voeren.

In juni 2025 INKY een kettingphishingcampagne waarbij gebruik werd gemaakt van de legitieme meldingsinfrastructuur van Zoom om e-mails te verspreiden met links naar een Zoom-document (docs.zoom.us) dat een kwaadaardige download bevatte. De campagne was gericht op begunstigden van de Amerikaanse Social Security Administration (SSA) door zich voor te doen als SSA-waarschuwingen en gebruik te maken van het vertrouwen dat aan Zoom-communicatie verbonden is.

Bescherm uzelf tegen kwaadaardige e-mails met Kaseya Inky

Stop geavanceerde phishing en e-mailgebaseerde bedreigingen voordat ze gebruikers bereiken met INKY

Aan de slag

Nadat ontvangers op de link in het Zoom-document hadden geklikt, werd hen gevraagd om een zogenaamde'SSA Desktop App' te downloaden, wat in feite een hernoemde ConnectWise ScreenConnect (voorheen ConnectWise Control) remote-access client was. Deze aanval illustreert hoe cybercriminelen legitieme SaaS-platforms (Zoom) ensupport (ScreenConnect) misbruiken als living-off-the-land malware.

The email was sent from “SSA Notify <noreply‑[email protected]>” with the subject line “SSA Alert.” It passed SPF, DKIM and DMARC checks because it was delivered via Zoom’s Events infrastructure, allowing it to bypass unsophisticated email filters. The body of the email included the heading “Earnings Record Review Required” and warned the recipient of a potential discrepancy in their 2025 earnings record. It instructed the recipient to use a desktop or laptop, download a “secure SSA Desktop App” and sign in with SSA credentials. The call‑to‑action was a “VIEW FILE” button linking to a Zoom document hosted at docs.zoom.us. The message was designed to create urgency and used official SSA branding, making the phishing message appear legitimate.

Afbeelding 1: Een phishing-e-mail die lijkt op een melding van Zoom

De functie voor het delen van documenten van Zoom werd een onbedoeld leveringsmechanisme, waardoor een phishing-payload afkomstig kon zijn van een vertrouwd domein en security e-mail kon omzeilen.

Hoe Zoom werd misbruikt

Zoom biedt functies zoals Zoom Events en Zoom Docs. Wanneer een user een Zoom Doc user , stuurt Zoom een meldingsmail vanuit zijn eigen domein. Aanvallers maakten misbruik van dit mechanisme door een Zoom-document met het phishingbericht te maken en dit met hun doelwitten te delen. Omdat de e-mail afkomstig was van[email protected], was deze cryptografisch ondertekend (SPF/DKIM/DMARC), waardoor deze veel security kon omzeilen en legitiem leek.

De phishing-e-mail bevatte een eerste link naar docs.zoom.us/doc/

Dit door Zoom gehoste document diende als eerste fase van de aanval. Het gebruikte SSA-branding en beweerde dat mobiele toegang beperkt was, waarbij werd vermeld dat de user een desktopcomputer user gebruiken en een "beveiligde SSA Desktop App" user downloaden (zie de bijgevoegde schermafbeeldingen). Het Zoom-document leek op een officiële verklaring en bevatte een lijst met punten over het verifiëren van recente arbeidsgeschiedenis en belastingafdrachten. Vervolgens kreeg de user :

  1. Gebruik een desktopcomputer of laptop.
  2. Download de beveiligde SSA Desktop App via de verstrekte link.
  3. Log in met SSA-inloggegevens.

Een blauwe hyperlink met de tekst 'Download Desktop App Now' (Download nu de desktop-app) verwees naar een extern domein (lawsmith.com/redir2), dat geen banden heeft met de SSA. Het Zoom-document werd dus gebruikt als schakel om het slachtoffer van een vertrouwd Zoom-domein naar een kwaadaardige site te leiden waarop de malware stond.

Afbeelding 2: Eerste helft van het Zoom-phishingdocument

Afbeelding 3: Tweede helft van het Zoom-phishingdocument met de link naar het externe domein

Deze aanval was effectief omdat hij misbruik maakte van de legitieme infrastructuur van Zoom en phishing-e-mails verstuurde vanaf [email protected] met geauthenticeerde headers. Slachtoffers werden misleid om op een link naar een Zoom-document te klikken, dat door veel users standaard URL-filters als betrouwbaar wordt beschouwd. Het Zoom-document leidde users vervolgens users een tweede kwaadaardige link, wat een voorbeeld is van een ChainLink-phishingtechniek.

Het document leidde users een uitvoerbaar bestand met de naam "Document‑needs_Signing‑PDF.ClientSetup.exe", dat door VirusTotal werd geïdentificeerd als een ConnectWise-tool voor externe toegang, vermomd als een SSA-applicatie.

Figuur 4: Resultaten van VirusTotal


Hoe de ConnectWise ScreenConnect-trojanmethode werkt

Om de aanvalsketen te voltooien, ging de phishingcampagne over van social engineering naar externe toegang door misbruik te maken van een veelgebruikte support die in bedrijfsomgevingen als betrouwbaar wordt beschouwd.

Legitieme tool misbruikt als malware

ConnectWise ScreenConnect (voorheen ConnectWise Control) is een tool voor monitoring en beheer op afstand (RMM) die door support wordt gebruikt om eindpunten op afstand te beheren. ScreenConnect geeft technici volledige controle over de computer user. Daarom kan ongeautoriseerde installatie gevaarlijk zijn, aangezien aanvallers scripts kunnen uitvoeren, bestanden kunnen overbrengen of extra malware kunnen installeren zonder dat het slachtoffer dit merkt. Bij phishingcampagnes misleiden cybercriminelen slachtoffers vaak om een hernoemde ScreenConnect-client te downloaden die is vermomd als facturen of, in dit geval, SSA-documenten. Eenmaal geïnstalleerd, kan de aanvaller verbinding maken met het apparaat van het slachtoffer en gevoelige informatie zoals bankgegevens en persoonlijke identificatienummers stelen.

In het beveiligingsbulletin van Broadcom werd een sterke toename geconstateerd in het kwaadaardige gebruik van ConnectWise RMM-tools door ransomware-operators en andere cybercriminelen. Aanvallers verspreiden e-mailbijlagen of kwaadaardige URL's met behulp van ConnectWise-clients die zijn vermomd als valse bedrijfs- of overheidsdocumenten om cybercriminelen op afstand toegang te verlenen.

Omdat ScreenConnect legitiem en ondertekend is, behandelen veel antivirusprogramma's het als betrouwbare software. Cybercriminelen maken hiervan gebruik om detectie te omzeilen, een tactiek die vaak wordt aangeduid als 'living off the land'. In plaats van aangepaste malware in te zetten, gebruiken ze vertrouwde tools om op afstand controle uit te oefenen. Door een legitieme IT-beheertool te combineren met social engineering, profiteren aanvallers van een dubbel voordeel: ze kunnen misbruik maken van vertrouwen en security .

Samenvatting van de aanvalsketen en gevolgen

  1. Eerste phishing-e-mail: Er komt een overtuigende SSA-waarschuwing binnen van [email protected] met een urgent onderwerp. De e-mail voldoet aan SPF/DKIM/DMARC en bevat Zoom-branding, waardoor filters worden omzeild.
  2. Zoom Doc-link: De e-mail spoort de user op 'Bestand bekijken' te klikken, wat leidt naar een document dat wordt gehost op docs.zoom.us/doc/. Omdat de URL zich op het domein zoom.us bevindt, wordt deze door veel security en users als betrouwbaar beschouwd .
  3. Vals SSA-document: Het Zoom-document bevat SSA-logo's en waarschuwt de ontvanger dat mobiele toegang beperkt is. Het instrueert de user een desktopcomputer te gebruiken en de "beveiligde SSA Desktop App" te downloaden. Deze call-to-action linkt naar een externe site (in dit gevallawsmith.com/redir2 ), waar het schadelijke bestand wordt gehost. Deze reeks omleidingen (Zoom → extern domein) staat bekend als ChainLink-phishing.
  4. Kwaadaardige download: De externe link downloadt automatisch een uitvoerbaar bestand dat is vermomd als een PDF- of SSA-app (bijvoorbeeld 'Document‑needs_Signing‑PDF.ClientSetup.exe'). VirusTotal labelt dergelijke bestanden als Trojan.ConnectWise/ScreenConnect; het zijn in feite ScreenConnect-clients die vooraf zijn geconfigureerd om verbinding te maken met de aanvaller.
  5. Installatie en externe bediening: wanneer het slachtoffer het bestand uitvoert, wordt ScreenConnect stil geïnstalleerd. Het installatieprogramma pakt een Microsoft Software Installer (.msi) uit, ondertekent deze met de handtekening van het hoofdprogramma en gebruikt msiexec.exe om ScreenConnect te installeren. De client maakt vervolgens verbinding met een door de aanvaller beheerd domein op een opgegeven poort, waardoor de aanvaller externe controle over het systeem krijgt.
  6. Acties na compromittering: Met behulp van externe bediening kan de aanvaller opdrachten uitvoeren, bestanden overzetten, extra malware (bijvoorbeeld ransomware) installeren of gegevens stelen. Ze kunnen financiële schermen manipuleren om slachtoffers te misleiden en hen ertoe te brengen geld over te maken. Aanvallers kunnen ook overschakelen naar andere systemen met behulp van het gecompromitteerde e-mailaccount om verdere phishing-e-mails te versturen (laterale phishing).

Mogelijke gevolgen

  • Identiteitsdiefstal en financiële fraude: Criminelen gebruiken ScreenConnect om gevoelige gegevens zoals bankgegevens, persoonlijke identificatienummers en vertrouwelijke bestanden te stelen. Ze kunnen frauduleuze transacties uitvoeren of identiteitsdiefstal plegen.
  • Netwerkcompromittering: zodra er externe toegang is verkregen, kunnen aanvallers zich lateraal binnen een organisatie verplaatsen, extra tools installeren, persistentiemechanismen creëren en mogelijk ransomware inzetten.

Best practices: richtlijnen en aanbevelingen

1) Train users voorzichtig te zijn met ongevraagde uitnodigingen voor Zoom-evenementen en SSA-waarschuwingen.

2) Vermijd het downloaden van bestanden uit onverwachte e-mails.

3) Controleer uitnodigingen voor Zoom-evenementen via andere kanalen (directe communicatie en verificatie met de afzender).

4) Pas multifactorauthenticatie (MFA) toe en beveilig Zoom-accounts. Aanvallers zullen waarschijnlijk misbruik maken van gehackte Zoom-accounts. Door MFA in te schakelen op samenwerkingsplatforms en ongebruikelijke inlogactiviteiten te monitoren, kan dergelijk misbruik worden beperkt.

5) Anti-malwaretools moeten misbruikte clients voor ondersteuning op afstand classificeren als riskware. Endpoint Detection and Response (EDR)-oplossingen kunnen ook controleren of msiexec.exe RMM-tools installeert.

6) Controleer de koptekst 'Aan'. Het is verdacht dat SSA-meldingen via Zoom-meldingen worden verzonden.

Laatste gedachten

De hier geanalyseerde phishingcampagne toont een geavanceerd misbruik van de toeleveringsketen: aanvallers misbruikten de legitieme e-mailbezorging van Zoom om phishingberichten te versturen die eruitzien als officiële SSA-meldingen, en plaatsten kwaadaardige links op Zoom Docs om URL-filters te omzeilen. Door slachtoffers te overtuigen om een hernoemde ConnectWise ScreenConnect-client te downloaden, krijgen aanvallers op afstand controle over hun computers zonder traditionele malware te gebruiken. De campagne onderstreept het belang van het verifiëren van onverwachte communicatie, het monitoren van het gebruik vansupport en het implementeren van meervoudige authenticatie op samenwerkingsplatforms. Aangezien legitieme tools steeds vaker door cybercriminelen worden misbruikt, moeten organisaties hun security bijwerken om misbruik van vertrouwde diensten te detecteren en users voorlichten users nieuwe phishingtactieken.

Eén compleet platform voor IT- en Security

Kaseya is de alles-in-één oplossing voor het beheer, de beveiliging en de automatisering van IT. Dankzij naadloze integraties tussen cruciale IT-functies vereenvoudigt het de bedrijfsvoering, versterkt het de beveiliging en verhoogt het de efficiëntie.

Vraag een demo aan Ontdek Kaseya

Één platform. Alles omtrent IT.

Klanten van Kaseya profiteren van de voordelen van de beste IT-beheer- en beveiligingstools in één enkele oplossing.

Ontdek Kaseya

Uw succes is onze nummer 1 prioriteit

Partner First staat voor flexibele voorwaarden, gedeelde risico's en toegewijde support voor uw bedrijf.

Ontdek Partner First Pledge

Wereldwijd MSP rapport 2025

Het Global MSP Report 2025 van Kaseya is uw onmisbare bron van informatie om te begrijpen waar de sector naartoe gaat.

Nu downloaden

Ontdek categorieën

De werkelijke kosten van phishingaanvallen

Ontdek de werkelijke kosten van phishingaanvallen en hoe moderne e- security bedreigingen security voordat ze uw bedrijf schaden.

Lees blogbericht

Een kijkje in de OpenAI-factuurzwendel: misbruik van SendGrid en callback-phishing uitgelegd

Cybercriminelen staan nooit stil en vinden voortdurend nieuwe manieren om misbruik te maken van vertrouwen, vertrouwdheid en menselijke instincten. INKY bedreigingen observeren.Meer lezen

Lees blogbericht

Van phishing tot ransomware: hoe Kaseya 365 User uw SaaS-apps beschermt

SaaS-applicaties, zoals Microsoft 365 en Google Workspace, ondersteunen bijna elk aspect van de digitale activiteiten van vandaag. Echter, aangezien bedrijvenMeer lezen

Lees blogbericht