×

Фейковые сайты Zoom распространяют вредоносное ПО Vidar

Фейковые сайты Zoom распространяют вредоносное ПО Vidar

Вредонос крадет данные пользователей Zoom.

Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили множество поддельных сайтов Zoom, созданных для распространения вредоносного ПО. Сайты копируют интерфейс оригинала и маскируют вредоносное ПО под легитимное приложение.

Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.

Vidar нацелен на:

  • Банковские данные;

  • Сохраненные пароли;

  • IP-адреса;

  • История браузера;

  • Учетные данные для входа в систему;

  • Криптокошельки.

А вот список поддельных сайтов Zoom, которых следует избегать:

  • zoom-download[.]host

  • zoom-download[.]space

  • zoom-download[.]fun

  • zoomus[.]host

  • zoomus[.]tech

  • zoomus[.]website

Цепочка заражения выглядит так:

Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:

  • ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;

  • Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.

А для того, чтобы не оставить за собой следов и/или избежать обнаружения, вредонос две команды:

  • "C:\Windows\System32\cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q

  • "C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & del C:\PrograData\*.dll & exit

Эксперты рекомендуют пользователям оставаться внимательными, смотреть на ссылки и не загружать файлы из неизвестных источников.

Sysdig: каждый заработанный криптомайнерами доллар обходится жертве в 53 доллара

Эксперты рассчитали ущерб, проанализировав изучив крупную майнинговую кампанию Chimaera.

Исследователи Zscaler обнаружили в даркнете свежий билдер вредоносного ПО под названием Quantum

Инструмент может быть тесно связан с APT-группировкой Lazarus.