Фейковые сайты Zoom распространяют вредоносное ПО Vidar
Вредонос крадет данные пользователей Zoom.
Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили
множество поддельных сайтов Zoom, созданных для распространения вредоносного ПО. Сайты копируют интерфейс оригинала и маскируют вредоносное ПО под легитимное приложение.
Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.
Vidar нацелен на:
-
Банковские данные;
-
Сохраненные пароли;
-
IP-адреса;
-
История браузера;
-
Учетные данные для входа в систему;
-
Криптокошельки.
А вот список поддельных сайтов Zoom, которых следует избегать:
-
zoom-download[.]host
-
zoom-download[.]space
-
zoom-download[.]fun
-
zoomus[.]host
-
zoomus[.]tech
-
zoomus[.]website
Цепочка заражения выглядит так:
Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:
-
ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;
-
Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.
А для того, чтобы не оставить за собой следов и/или избежать обнаружения, вредонос две команды:
-
"C:\Windows\System32\cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
-
"C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & del C:\PrograData\*.dll & exit
Эксперты рекомендуют пользователям оставаться внимательными, смотреть на ссылки и не загружать файлы из неизвестных источников.
Цифровые следы - ваша слабость, и хакеры это знают.