Вредонос крадет данные пользователей Zoom.

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили множество поддельных сайтов Zoom, созданных для распространения вредоносного ПО. Сайты копируют интерфейс оригинала и маскируют вредоносное ПО под легитимное приложение.

Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.

Vidar нацелен на:

  • Банковские данные;

  • Сохраненные пароли;

  • IP-адреса;

  • История браузера;

  • Учетные данные для входа в систему;

  • Криптокошельки.

Банковские данные;

Сохраненные пароли;

IP-адреса;

История браузера;

Учетные данные для входа в систему;

Криптокошельки.

А вот список поддельных сайтов Zoom, которых следует избегать:

  • zoom-download[.]host

  • zoom-download[.]space

  • zoom-download[.]fun

  • zoomus[.]host

  • zoomus[.]tech

  • zoomus[.]website

zoom-download[.]host

zoom-download[.]space

zoom-download[.]fun

zoomus[.]host

zoomus[.]tech

zoomus[.]website

Цепочка заражения выглядит так:

Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:

  • ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;

  • Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.

ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;

Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.

А для того, чтобы не оставить за собой следов и/или избежать обнаружения, вредонос две команды:

  • "C:\Windows\System32\cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q

  • "C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & del C:\PrograData\*.dll & exit

"C:\Windows\System32\cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q

"C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & del C:\PrograData\*.dll & exit

Эксперты рекомендуют пользователям оставаться внимательными, смотреть на ссылки и не загружать файлы из неизвестных источников.

Источник: securitylab