Good Carder
Professional
- Messages
- 903
- Reaction score
- 520
- Points
- 93
От кардера — кардерам. Долгое время видеоконференции считались золотым стандартом верификации. Сотрудники получали подозрительное письмо — и вместо того чтобы слепо кликать, просто дёргали коллегу в Zoom. Увидеть лицо, услышать голос — этого было достаточно, чтобы сделка считалась безопасной. В 2026 году эта эпоха закончилась.
В 2026 году видеоконференции больше не являются надёжным способом верификации. Они сами стали главным вектором атак. Кардеры проникают во внутренние встречи, ведут доверительные диалоги и обманывают сотрудников на сотни тысяч долларов. Deepfake-подмена лиц, инъекции в видео-поток, ретрансляция OTP-кодов через чаты и автоматизированные боты для массового фишинга — вот ваше новое оружие. Эта статья о том, как перехватывать контроль над Zoom-сессиями и превращать Teams в инструмент кражи данных.
В этой статье я разберу вектор «обход MFA через Teams-токены», атаку CVE-2026-22844 (получение полного контроля над сетью через Zoom-встречу), фишинговые страницы Zoom, ворующие сессии, эксфильтрацию скриншотов через Telegram-ботов, а также сложные схемы, где поддельный колл-центр «Microsoft» решает ваши платежные проблемы. И конечно — OPSEC для тех, кто воюет на новом поле битвы.
Три столпа уязвимости видеоконференций:
В 2026 году несанкционированный доступ к встречам превратился из интернет-троллинга в сложный корпоративный шпионаж. Кардеры не просто присоединяются к встречам — они внедряются во внутренние совещания на регулярной основе и проводят личные диалоги с сотрудниками, представляясь их коллегами. Видеоконференции перестали быть средством верификации и сами стали целью атаки.
Суть атаки: Если вы участвуете в Zoom-встрече, где клиент компании взаимодействует с Zoom Node Multimedia Routers, у вас появляется возможность выполнить инъекцию команд с оценкой CVSS 9.9 из 10. Проще говоря, вы трансформируете любого участника встречи в полноценного администратора сети с правами на изменение всей инфраструктуры видеоконференций, что приводит к "тотальному коллапсу". Достаточно послать специальный вредоносный пакет через сеть во время встречи — и вы получаете контроль над узлами обработки медиатрафика. О каких именно платёжных данных может идти речь? Вы берёте под контроль серверы, на которых транслируются все видео-потоки и, что важнее, происходит обмен файлами и данными для биллинга.
Ещё страшнее выглядит её реальная опасность: эта уязвимость была обнаружена внутренней командой безопасности Zoom, а не внешними исследователями. В 2026 году трюк с сетевой инжекцией не требует взлома локальной машины жертвы — достаточно находиться в сессии с корпоративным пользователем и умело отправлять трафик.
И это не "теоретический" баг. Zoom выпустил экстренный патч для миллионов организаций, но как всегда, время установки патча может растянуться на месяцы, а уязвимые серверы до сих пор висят в корпоративных сетях по всему миру. Для кардера это означает, что возможность компрометации платёжных потоков «внутренних» встреч компаний остаётся открытой ещё долгое время.
В этой атаке кардеры использовали API Telegram для мониторинга того, что жертва нажала кнопку загрузки, что позволяет им отслеживать жертв в реальном времени. Это идеальная схема для кардера, нацеленного на криптоинвесторов, которые часто используют Zoom для обсуждения сделок.
Вот пример того, как кардерам удалось украсть миллион: сотрудник финансового отдела получает срочный запрос на перевод крупной суммы. Следуя корпоративному протоколу, он запрашивает видеозвонок. Присоединившись к конференции, он видит своего финансового директора и несколько знакомых коллег, сидящих на своих местах. Все лица выглядят реально, все голоса звучат аутентично. Единственная проблема: каждое лицо в этой конференции, кроме самого жертвы, было создано ИИ. Сотрудник утвердил перевод на миллионы, даже не подозревая об обмане.
На вооружении у нас теперь есть инструменты для создания синтетических видеопотоков в реальном времени. Техника глубокого подбора видео может быть использована для проведения фишинговых Zoom-встреч, на которых жертва будет убеждена предоставить платёжные данные, код 2FA или перевести средства на подконтрольный счёт напрямую.
Атака использует легитимную функцию «Пригласить гостя» в Teams. Вы создаёте Team с именем, имитирующим срочное уведомление об оплате: «Subscription Auto-Pay Notice (Invoice ID: 2025_614632PPOT_SAG Amount at least 629.98 USD). If you did not authorize or complete this monthly payment, please contact our support team urgently». Затем вы приглашаете в эту Team жертву через официальный имейл от Microsoft — безупречный дизайн, подлинные заголовки, прохождение всех почтовых проверок.
Жертва видит легитимное письмо от Microsoft, переходит в Teams, видит «счёт», который нужно оплатить, и звонит по указанному фальшивому номеру поддержки. Во время разговора кардер выманивает у жертвы логин, пароль и MFA-коды, получая полный доступ к учётной записи.
Этот метод обходит 2FA «в лоб»: вы не взламываете технологию — вы заставляете жертву сама продиктовать вам код аутентификации для сброса пароля доступа к её корпоративной почте. Из корпоративной почты вы получаете доступ к расчётным счетам и платёжным поручениям.
Для кардера здесь самое ценное — это то, как кардеры маскируются под систему биллинга. Платежные данные можно добывать, выдавая себя за отдел выставления счетов, который «проверяет неправильный платёж». Атака, нацеленная на бизнес-аккаунты компаний, может приносить десятки тысяч долларов с помощью одного звонка. Именно так кардеры заставляют жертв перезванивать на фальшивые номера поддержки, чтобы решить проблему с платёжом.
OPSEC для атакующего: используйте подмену Caller ID с номерами, близкими к номеру горячей линии Microsoft. При регистрации доменов для Team Names используйте симиляры букв (например, замена o на 0 или e на 3) для обхода фильтров безопасности.
Основной компонент атаки называется «GIFShell». Суть его заключается в том, что кардер вынуждает жертву отправить GIF-файл, который на самом деле содержит скрытые инструкции. Этот файл синхронизируется через серверы Microsoft, и кардер может отправлять команды на исполнение, читать ответы через поиск изображений GIF.
В классической атаке C2 (Command-and-Control) трафик между хакером и жертвой идёт напрямую, что легко вычислить. GIFShell пересылает управляющие команды через собственные легитимные серверы Microsoft, маскируя их под обычный поиск GIF-файлов.
Как это работает:
Получив контроль над корпоративным чатом с помощью GIFShell, кардер может заставить жертву сделать скриншот её рабочего стола и переслать его себе, чтобы завладеть любыми сводками по платежам, отчётами и биллинговой информацией.
Если вы проводите публичную встречу с демонстрацией экрана, вы можете подменить пиксели в видео-потоке в реальном времени. Программное обеспечение, такое как OBS Studio, позволяет накладывать поверх видео любые изображения.
Схема проста:
Жертва видит на «официальной» презентации QR-код для оплаты, сканирует его и вводит свои данные на фишинговом сайте. Всё просто.
Для корпоративных встреч без демонстрации экрана мы используем социальную инженерию через чат. Захватив чат, мы отправляем ссылки на оплату от имени участников встречи.
В августе 2025 года исследователи зафиксировали группу «Неуловимая комета» (Elusive Comet), которая специализируется на использовании Zoom для кражи криптовалют. Их стратегия включает поиск в сети рекламных объявлений о предстоящих Zoom-вебинарах в сфере криптовалют, получение ссылок для регистрации и автоматическое добавление десятков подставных участников с аккаунтов-пустышек. Под видом «организаторов» они отправляют вредоносные ссылки.
Заработок получается автоматическим: чат тысячной аудитории, где администратор обещает «бесплатный разбор сделок» и просит перейти по ссылке для верификации кошелька.
Коммуникационные платформы — самые защищённые системы в любой компании; именно поэтому они являются самой жирной мишенью. Протоколы, требующие визуального подтверждения от руководства, должны быть пересмотрены. Единственная надёжная защита сейчас — это аппаратные ключи и соблюдение строгих правил информационной безопасности на уровне организации.
Быстрая памятка на одну строку:
«В 2026 году видеоконференции больше не защищают компании — они делают их уязвимыми. CVE-2026-22844 превращает любого участника встречи в администратора сети. GIFShell обходит корпоративные брандмауэры через GIF. Deepfake-коллеги крадут миллионы. Следующий ваш звонок с «финансовым директором» может стоить вам всего состояния»
В 2026 году видеоконференции больше не являются надёжным способом верификации. Они сами стали главным вектором атак. Кардеры проникают во внутренние встречи, ведут доверительные диалоги и обманывают сотрудников на сотни тысяч долларов. Deepfake-подмена лиц, инъекции в видео-поток, ретрансляция OTP-кодов через чаты и автоматизированные боты для массового фишинга — вот ваше новое оружие. Эта статья о том, как перехватывать контроль над Zoom-сессиями и превращать Teams в инструмент кражи данных.
В этой статье я разберу вектор «обход MFA через Teams-токены», атаку CVE-2026-22844 (получение полного контроля над сетью через Zoom-встречу), фишинговые страницы Zoom, ворующие сессии, эксфильтрацию скриншотов через Telegram-ботов, а также сложные схемы, где поддельный колл-центр «Microsoft» решает ваши платежные проблемы. И конечно — OPSEC для тех, кто воюет на новом поле битвы.
Часть 1. Почему видеоконференции — новая мишень
Видеоконференции — это идеальный баланс между доверием и уязвимостью. Люди склонны верить тому, что они видят и слышат. В 2026 году кардеры научились подделывать и то, и другое. Взлом переговорной комнаты больше не требует физического проникновения. Достаточно отправить приглашение.Три столпа уязвимости видеоконференций:
- Человеческий фактор. Голос и лицо по-прежнему обладают высочайшим уровнем доверия.
- Богатый интерфейс для атак. Скринкасты, чаты и реакции, удалённое управление — функционал конференций открывает массу возможностей для перехвата данных.
- Техническая сложность защиты. Сегодня в компаниях используют Teams и Zoom, которые стали сквозными коммуникационными платформами. Защитить то, в чём заинтересован весь бизнес, невероятно сложно, и это делает их самой безопасной дырой в вашем периметре.
В 2026 году несанкционированный доступ к встречам превратился из интернет-троллинга в сложный корпоративный шпионаж. Кардеры не просто присоединяются к встречам — они внедряются во внутренние совещания на регулярной основе и проводят личные диалоги с сотрудниками, представляясь их коллегами. Видеоконференции перестали быть средством верификации и сами стали целью атаки.
Часть 2. Взлом Zoom: от команды до удалённого кода
Zoom остаётся главной мишенью для киберпреступников из-за его популярности и богатого функционала.2.1. CVE-2026-22844 — как один участник встречи рушит всю инфраструктуру
Это не банальный захват камеры; это команда взлома инфраструктуры. Речь идёт об уязвимости CVE-2026-22844, затрагивающей Zoom Node Multimedia Routers (версии до 5.2.1716.0).Суть атаки: Если вы участвуете в Zoom-встрече, где клиент компании взаимодействует с Zoom Node Multimedia Routers, у вас появляется возможность выполнить инъекцию команд с оценкой CVSS 9.9 из 10. Проще говоря, вы трансформируете любого участника встречи в полноценного администратора сети с правами на изменение всей инфраструктуры видеоконференций, что приводит к "тотальному коллапсу". Достаточно послать специальный вредоносный пакет через сеть во время встречи — и вы получаете контроль над узлами обработки медиатрафика. О каких именно платёжных данных может идти речь? Вы берёте под контроль серверы, на которых транслируются все видео-потоки и, что важнее, происходит обмен файлами и данными для биллинга.
Ещё страшнее выглядит её реальная опасность: эта уязвимость была обнаружена внутренней командой безопасности Zoom, а не внешними исследователями. В 2026 году трюк с сетевой инжекцией не требует взлома локальной машины жертвы — достаточно находиться в сессии с корпоративным пользователем и умело отправлять трафик.
И это не "теоретический" баг. Zoom выпустил экстренный патч для миллионов организаций, но как всегда, время установки патча может растянуться на месяцы, а уязвимые серверы до сих пор висят в корпоративных сетях по всему миру. Для кардера это означает, что возможность компрометации платёжных потоков «внутренних» встреч компаний остаётся открытой ещё долгое время.
2.2. Поддельные ссылки Zoom и распространение «дроппера»
Это самый старый и самый массовый метод атаки — но кардеры подняли его на новый уровень.- Кейс 2026 года: Кардеры регистрируют домены, имитирующие официальные ссылки Zoom (например, app.us4zoom.us). Жертва переходит по ссылке и видит страницу, неотличимую от настоящей. При нажатии на «Начать встречу» вместо локального клиента запускается загрузка вредоносного установщика (ZoomApp_v.3.14.dmg).
- Механизм кражи: Установщик представляет собой трояна, который запрашивает у жертвы ввод пароля в терминале, а затем собирает системную информацию, данные KeyChain и файлы Cookie, после чего сжимает их и отправляет на удалённый сервер, например, 141.98.9.20. Собранные данные позволяют кардерам похищать сид-фразы от криптокошельков и приватные ключи.
В этой атаке кардеры использовали API Telegram для мониторинга того, что жертва нажала кнопку загрузки, что позволяет им отслеживать жертв в реальном времени. Это идеальная схема для кардера, нацеленного на криптоинвесторов, которые часто используют Zoom для обсуждения сделок.
2.3. Deepfake-инъекция: когда «лицо» не принадлежит жертве
Этот вектор атаки переводит угрозу на уровень социальной инженерии третьего поколения.Вот пример того, как кардерам удалось украсть миллион: сотрудник финансового отдела получает срочный запрос на перевод крупной суммы. Следуя корпоративному протоколу, он запрашивает видеозвонок. Присоединившись к конференции, он видит своего финансового директора и несколько знакомых коллег, сидящих на своих местах. Все лица выглядят реально, все голоса звучат аутентично. Единственная проблема: каждое лицо в этой конференции, кроме самого жертвы, было создано ИИ. Сотрудник утвердил перевод на миллионы, даже не подозревая об обмане.
На вооружении у нас теперь есть инструменты для создания синтетических видеопотоков в реальном времени. Техника глубокого подбора видео может быть использована для проведения фишинговых Zoom-встреч, на которых жертва будет убеждена предоставить платёжные данные, код 2FA или перевести средства на подконтрольный счёт напрямую.
Часть 3. Microsoft Teams: вишинг, кража токенов и GIFShell
Microsoft Teams всё больше используется в корпоративной среде, и кардеры активно пользуются этим.3.1. Кража токенов MFA через Teams-чаты
В январе 2026 года была обнаружена масштабная фишинг-кампания, нацеленная на Microsoft Teams, в ходе которой кардеры обошли традиционную защиту электронной почты и доставили более 12 000 вредоносных писем более чем 6 000 пользователей в разных отраслях.Атака использует легитимную функцию «Пригласить гостя» в Teams. Вы создаёте Team с именем, имитирующим срочное уведомление об оплате: «Subscription Auto-Pay Notice (Invoice ID: 2025_614632PPOT_SAG Amount at least 629.98 USD). If you did not authorize or complete this monthly payment, please contact our support team urgently». Затем вы приглашаете в эту Team жертву через официальный имейл от Microsoft — безупречный дизайн, подлинные заголовки, прохождение всех почтовых проверок.
Жертва видит легитимное письмо от Microsoft, переходит в Teams, видит «счёт», который нужно оплатить, и звонит по указанному фальшивому номеру поддержки. Во время разговора кардер выманивает у жертвы логин, пароль и MFA-коды, получая полный доступ к учётной записи.
Этот метод обходит 2FA «в лоб»: вы не взламываете технологию — вы заставляете жертву сама продиктовать вам код аутентификации для сброса пароля доступа к её корпоративной почте. Из корпоративной почты вы получаете доступ к расчётным счетам и платёжным поручениям.
Для кардера здесь самое ценное — это то, как кардеры маскируются под систему биллинга. Платежные данные можно добывать, выдавая себя за отдел выставления счетов, который «проверяет неправильный платёж». Атака, нацеленная на бизнес-аккаунты компаний, может приносить десятки тысяч долларов с помощью одного звонка. Именно так кардеры заставляют жертв перезванивать на фальшивые номера поддержки, чтобы решить проблему с платёжом.
OPSEC для атакующего: используйте подмену Caller ID с номерами, близкими к номеру горячей линии Microsoft. При регистрации доменов для Team Names используйте симиляры букв (например, замена o на 0 или e на 3) для обхода фильтров безопасности.
3.2. GIFShell — скрытый канал управления через GIF
Атака GIFShell совершила прорыв в методах сокрытия трафика.Основной компонент атаки называется «GIFShell». Суть его заключается в том, что кардер вынуждает жертву отправить GIF-файл, который на самом деле содержит скрытые инструкции. Этот файл синхронизируется через серверы Microsoft, и кардер может отправлять команды на исполнение, читать ответы через поиск изображений GIF.
В классической атаке C2 (Command-and-Control) трафик между хакером и жертвой идёт напрямую, что легко вычислить. GIFShell пересылает управляющие команды через собственные легитимные серверы Microsoft, маскируя их под обычный поиск GIF-файлов.
Как это работает:
- Кардер отправляет жертве GIF-файл, содержащий зашифрованные команды.
- Специальный скрипт на машине жертвы (GIFShell Python script) интерпретирует этот GIF как команду.
- Результат выполнения команды загружается на серверы Microsoft как поиск GIF.
- Кардер читает эти «поисковые запросы» и получает данные.
Получив контроль над корпоративным чатом с помощью GIFShell, кардер может заставить жертву сделать скриншот её рабочего стола и переслать его себе, чтобы завладеть любыми сводками по платежам, отчётами и биллинговой информацией.
Часть 4. Инъекция в видео-поток и подмена QR-кодов во время встречи
Старые технологии Phishing не умерли — они просто перешли на стриминг.Если вы проводите публичную встречу с демонстрацией экрана, вы можете подменить пиксели в видео-потоке в реальном времени. Программное обеспечение, такое как OBS Studio, позволяет накладывать поверх видео любые изображения.
Схема проста:
- Вы находите открытый вебинар по «инвестициям» или «безопасности платежей».
- Вы запускаете локальный прокси, который подменяет входящий видеопоток клиента Zoom.
- Вы встраиваете в кадр собственный QR-код, который ведёт на поддельный сайт оплаты, подменяя исходный платёжный QR.
Жертва видит на «официальной» презентации QR-код для оплаты, сканирует его и вводит свои данные на фишинговом сайте. Всё просто.
Для корпоративных встреч без демонстрации экрана мы используем социальную инженерию через чат. Захватив чат, мы отправляем ссылки на оплату от имени участников встречи.
Часть 5. Техники перехвата OTP и считывание экрана
Если жертва совершает платёж во время видеоконференции, мы можем перехватить эти данные в реальном времени.- Перехват 2FA через захват экрана: во время демонстрации экрана вы можете вести скрытую запись. При получении жертвой SMS-кода подтверждения он также отображается на экране.
- Вредоносные расширения браузера: кардеры распространяют поддельные расширения для записи конференций, которые перехватывают активные вкладки банка с OTP-кодами.
Часть 6. Боты для массового участия в вебинарах: фишинг в промышленных масштабах
Самая грязная и самая эффективная схема для масс-маркета: вы создаёте ботов, которые автоматически находят вебинары по криптотрейдингу и инвестициям, регистрируются на них и забивают чаты вредоносными ссылками.В августе 2025 года исследователи зафиксировали группу «Неуловимая комета» (Elusive Comet), которая специализируется на использовании Zoom для кражи криптовалют. Их стратегия включает поиск в сети рекламных объявлений о предстоящих Zoom-вебинарах в сфере криптовалют, получение ссылок для регистрации и автоматическое добавление десятков подставных участников с аккаунтов-пустышек. Под видом «организаторов» они отправляют вредоносные ссылки.
Заработок получается автоматическим: чат тысячной аудитории, где администратор обещает «бесплатный разбор сделок» и просит перейти по ссылке для верификации кошелька.
Часть 7. Полный чек-лист атакующего (OPSEC для конф-колл)
- Разведка (OSINT): используйте LinkedIn для поиска сотрудников финансовых отделов и сбора их email.
- Инфраструктура: подготовьте домены для писем и вредоносных сайтов.
- Приманка: Создайте в Teams команду-ловушку или поддельную встречу в Zoom.
- Оружие: Для перехвата токенов MFA используйте офлайн-фреймворки (например, evilginx2). Для распространения вредоносных ссылок—чаты конференций.
- Взлом учётных записей: после получения токена MFA войдите в аккаунт почты жертвы.
- Извлечение прибыли: используя почту, найдите платёжные реквизиты и инициируйте фейковый перевод или перехватите счета поставщиков.
Резюме
Видеоконференции в 2026 году — это главное поле битвы за платёжные данные. Технологии вышли за рамки фишинга. Мы перехватываем MFA-токены через Teams, отправляем скрытые команды через GIF-файлы и используем одобрение «лицом» для перевода миллионов долларов.Коммуникационные платформы — самые защищённые системы в любой компании; именно поэтому они являются самой жирной мишенью. Протоколы, требующие визуального подтверждения от руководства, должны быть пересмотрены. Единственная надёжная защита сейчас — это аппаратные ключи и соблюдение строгих правил информационной безопасности на уровне организации.
Быстрая памятка на одну строку:
«В 2026 году видеоконференции больше не защищают компании — они делают их уязвимыми. CVE-2026-22844 превращает любого участника встречи в администратора сети. GIFShell обходит корпоративные брандмауэры через GIF. Deepfake-коллеги крадут миллионы. Следующий ваш звонок с «финансовым директором» может стоить вам всего состояния»
