Фейковые сайты Zoom распространяют вредоносное ПО Vidar

Фейковые сайты Zoom распространяют вредоносное ПО Vidar

Вредонос крадет данные пользователей Zoom.

image

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили множество поддельных сайтов Zoom, созданных для распространения вредоносного ПО. Сайты копируют интерфейс оригинала и маскируют вредоносное ПО под легитимное приложение.

Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.

Vidar нацелен на:

  • Банковские данные;

  • Сохраненные пароли;

  • IP-адреса;

  • История браузера;

  • Учетные данные для входа в систему;

  • Криптокошельки.

А вот список поддельных сайтов Zoom, которых следует избегать:

  • zoom-download[.]host

  • zoom-download[.]space

  • zoom-download[.]fun

  • zoomus[.]host

  • zoomus[.]tech

  • zoomus[.]website

Цепочка заражения выглядит так:

Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:

  • ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;

  • Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.

А для того, чтобы не оставить за собой следов и/или избежать обнаружения, вредонос две команды:

  • "C:\Windows\System32\cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q

  • "C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & del C:\PrograData\*.dll & exit

Эксперты рекомендуют пользователям оставаться внимательными, смотреть на ссылки и не загружать файлы из неизвестных источников.


Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!