Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили множество фейковых сайтов Zoom, которые распространяют вредоносное ПО. Подделки копируют интерфейс оригинала и маскируют вредонос под легитимное приложение.
По данным CRIL, поддельные сайты Zoom являются частью более широкой программы по краже информации.
Изучив вредоносное ПО, специалисты выяснили, что это Vidar Stealer — вредонос, который связан с инфостилером Arkei.
Поддельные платформы, которые распространяют вредоносное ПО:
zoom-download.host
zoom-download.space
zoom-download.fun
zoomus.host
zoomus.tech
zoomus.website
Эти сайты перенаправляют пользователей на URL-адрес GitHub, где предлагается скачать поддельное приложение. Если пользователь его загружает, фейковое приложение помещает во временную папку на его девайсе файлы ZOOMIN-1.EXE и Decoder.exe.
Вредоносное ПО внедряется в MSBuild.exe, а затем извлекает IP-адреса с библиотеками DLL и данными конфигурации, что позволяет украсть дополнительную информацию.
Такие компании, как Zoom, «предоставляют» злоумышленникам обширную базу пользователей, на которых они могут охотиться. Количество пользователей компании резко возросло за последние годы из-за пандемии COVID-19, и это делает сервис крайне привлекательной целью.
Во втором квартале Zoom сообщила о 204 100 корпоративных клиентах, что на 18% больше, чем в прошлом году.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.