Если вы хотите загрузить платформу видеоконференций Zoom (откроется в новой вкладке), обязательно дважды проверьте интернет-адрес, с которого вы загружаете, поскольку существует множество поддельных веб-сайтов, которые распространяют типы вирусов и вредоносных программ.
Исследователи Cyble изучили сообщения о широкомасштабной кампании, нацеленной на потенциальных пользователей Zoom, и обнаружили шесть поддельных установочных сайтов, на которых размещены различные похитители информации и другие варианты вредоносных программ.
Одним из обнаруженных похитителей информации был Vidar Stealer, способный украсть банковскую информацию, сохраненные пароли, историю посещенных страниц, IP-адреса, данные криптовалютного кошелька, а в некоторых случаях и информацию MFA.
различные кампании
«Исходя из наших последних наблюдений, активно проводить различные кампании по распространению информации о ворах», — заявили исследователи (opens in a new tab). «Stealer Logs может предоставить доступ к скомпрометированным конечным точкам, которые продаются на торговых площадках для киберпреступников. Мы видели несколько нарушений, когда журналы кражи обеспечивали необходимый первоначальный доступ к сети жертвы».
Шесть обнаруженных сайтов находятся на zoom-downloadhost; zoom-downloadspace, zoom-downloadzoom funhost, zoomustech и zoomuswebsite и, по данным The Register, все еще работают.
Посетители будут перенаправлены на URL-адрес GitHub, который показывает, какие приложения они могут загрузить. Если жертва выбирает вредоносную, она получает во временную папку два бинарника: ZOOMIN-1.EXE и Decoder.exe. Сообщается, что вредоносное ПО также внедряется в MSBuild.exe и извлекает IP-адреса, на которых размещены библиотеки DLL, а также данные конфигурации.
«Мы обнаружили, что эта вредоносная программа имеет перекрывающиеся тактики, методы и процедуры (TTP) с Vidar Stealer», — написали исследователи, добавив, что, как и Vidar Stealer, «полезная нагрузка этой вредоносной программы скрывает IP-адрес C&C в описании Telegram. методы заражения кажутся похожими».
Лучший способ избежать этого вредоносного ПО — проверить, откуда берутся ваши программы Zoom.
Через: Реестр (откроется в новой вкладке)