当心您不认识的 Zoom 网站,因为犯罪团伙正在创建多个假冒版本,旨在引诱用户下载可以窃取银行数据、IP 地址和其他信息的恶意软件。
网络安全公司 Cyble 的威胁研究人员发现了六个虚假的 Zoom 网站,这些网站提供的应用程序如果被点击,将下载 Vidar Stealer 恶意软件,该恶意软件还可以获取许多其他好东西。根据 Cyble 研究和情报实验室 (CRIL) 的说法,虚假的 Zoom 网站是更广泛的信息窃取工作的一部分。
“根据我们最近的观察,[犯罪分子] 积极开展多项活动来传播信息窃取者,”他们在本周的一份报告中写道。
“窃取者日志可以提供对在网络犯罪市场上出售的受感染端点的访问。我们已经看到了多次违规行为,其中窃取者日志提供了对受害者网络的必要初始访问权限。”
像Zoom这样的公司为攻击者提供了广泛的用户群来捕食。由于 COVID-19 大流行,该公司的用户群在过去三年中猛增,这使其成为一个非常有吸引力的目标。
在第二季度,Zoom报告了 204,100 家企业客户,同比增长 18%。它还创造了近 11 亿美元的收入,比去年同期增长 8%。
Cyble 研究人员表示,他们本月早些时候从他们在例行威胁搜寻活动中看到的一条推文中首次听说了虚假的 Zoom 网站。他们发现了六个仍在运行的此类站点:zoom-download[.]host;zoom-download[.]space、zoom-download[.]fun、zoomus[.]host、zoomus[.]tech 和 zoomus[.] 网站。
这些站点将用户重定向到后端的 GitHub URL,该 URL 显示可以下载的应用程序。如果用户下载恶意应用程序,它会将两个二进制文件 – ZOOMIN-1.EXE 和 Decoder.exe – 放入临时文件夹中。
恶意软件被注入 MSBuild.exe,然后提取托管 DLL 和配置数据的 IP 地址,使其处于窃取更多信息的位置。它还可以隐藏其命令和控制 (C&C) 服务器的 IP 地址。
研究人员写道:“我们发现这个恶意软件与 Vidar Stealer 有重叠的战术、技术和程序 (TTP),”并补充说,与 Vidar Stealer 一样,“这个恶意软件有效载荷在 Telegram 描述中隐藏了 C&C IP 地址。其余的感染技术似乎相似。”
Cyble一年前写了一份关于 Vidar Stealer 的深入报告,称该恶意软件自 2018 年以来就一直存在。该恶意软件还与类似的威胁 Arkei Stealer 有链接。
安全业务概述了企业和用户可以采取的避免此类恶意软件的步骤,包括不下载盗版软件、使用强密码和多因素身份验证、确保系统自动更新以及培训员工不要打开不受信任的链接。
它补充说,组织还应该监控网络信标,以检测和阻止恶意软件或威胁组泄露的数据。
