Cyble Zoom Vidar инфостилер
Вредонос крадет данные пользователей Zoom.
Исследователи из Cyble Research and Intelligence Labs (CRIL)
обнаружили
множество поддельных сайтов Zoom, созданных для распространения вредоносного ПО. Сайты копируют интерфейс оригинала и маскируют вредоносное ПО под легитимное приложение.
Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.
Vidar нацелен на:
Банковские данные;
Сохраненные пароли;
IP-адреса;
История браузера;
Учетные данные для входа в систему;
Криптокошельки.
А вот список поддельных сайтов Zoom, которых следует избегать:
zoom-download[.]host
zoom-download[.]space
zoom-download[.]fun
zoomus[.]host
zoomus[.]tech
zoomus[.]website
Цепочка заражения выглядит так:
Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:
ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;
Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.
А для того, чтобы не оставить за собой следов и/или избежать обнаружения, вредонос две команды:
"C:WindowsSystem32cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
"C:WindowsMicrosoft.NETFrameworkv4.0.30319MSBuild.exe" & del C:PrograData*.dll & exit
Эксперты рекомендуют пользователям оставаться внимательными, смотреть на ссылки и не загружать файлы из неизвестных источников.
SECURITYLAB.RU
