Zoom-ის ამ ყალბ ვებსაიტებს სურთ მოგატყუონ მავნე პროგრამების ჩამოტვირთვაში

Zoom-ის ამ ყალბ ვებსაიტებს სურთ მოგატყუონ მავნე პროგრამების ჩამოტვირთვაში

თუ თქვენ გსურთ ჩამოტვირთოთ Zoom ვიდეო კონფერენციის პლატფორმა (იხსნება ახალ ჩანართში), დარწმუნდით, რომ ორჯერ შეამოწმეთ ინტერნეტ მისამართი, საიდანაც ჩამოტვირთავთ, რადგან არის მრავალი ყალბი ვებსაიტი, რომელიც ავრცელებს ვირუსების და მავნე პროგრამების ტიპებს.

Cyble-ის მკვლევარებმა გამოიკვლიეს ანგარიშები ფართოდ გავრცელებული კამპანიის შესახებ, რომელიც მიზნად ისახავდა Zoom-ის პოტენციურ მომხმარებლებს და აღმოაჩინეს ექვსი ყალბი ინსტალაციის საიტი, სადაც მასპინძლობს სხვადასხვა ინფორმაციის მოპარვას და სხვა მავნე პროგრამის ვარიანტებს.

აღმოჩენილი ინფორმაციის ერთ-ერთი ქურდი იყო Vidar Stealer, რომელსაც შეუძლია მოიპაროს საბანკო ინფორმაცია, შენახული პაროლები, დათვალიერების ისტორია, IP მისამართები, კრიპტოვალუტის საფულის დეტალები და ზოგიერთ შემთხვევაში, საგარეო საქმეთა სამინისტროს ინფორმაციაც.

სხვადასხვა კამპანიები

„ჩვენი ბოლო დაკვირვებებიდან გამომდინარე, აქტიურად აწარმოეთ რამდენიმე კამპანია ქურდების შესახებ ინფორმაციის გასავრცელებლად“, - თქვეს მკვლევარებმა (იხსნება ახალ ჩანართში). „Stealer Logs-ს შეუძლია უზრუნველყოს წვდომა კომპრომეტირებულ საბოლოო წერტილებზე, რომლებიც იყიდება კიბერდანაშაულის ბაზრებზე. "ჩვენ ვნახეთ მრავალი დარღვევა, სადაც ქურდობის ჟურნალები უზრუნველყოფდნენ აუცილებელ თავდაპირველ წვდომას მსხვერპლის ქსელში."

აღმოჩენილი ექვსივე საიტი zoom-downloadhost-ზეა; zoom-downloadspace, zoom-downloadfunzoomhost, zoomustechnology და zoomuswebsite და, The Register-ის მიხედვით, ჯერ კიდევ ფუნქციონირებს.

სტუმრები გადამისამართდებიან GitHub URL-ზე, რომელიც აჩვენებს, რომელი აპლიკაციების ჩამოტვირთვა შეუძლიათ. თუ მსხვერპლი აირჩევს მავნე, ის მიიღებს ორ ბინარს დროებით საქაღალდეში: ZOOMIN-1.EXE და Decoder.exe. ითქვა, რომ მავნე პროგრამა ასევე შეჰყავს MSBuild.exe-ში და ამოიღებს IP მისამართებს, რომლებიც მასპინძლობს DLL-ებს, ასევე კონფიგურაციის მონაცემებს.

„ჩვენ აღმოვაჩინეთ, რომ ამ მავნე პროგრამას ჰქონდა გადაფარვის ტაქტიკა, ტექნიკა და პროცედურები (TTP) Vidar Stealer-თან“, წერდნენ მკვლევარები და დასძინეს, რომ Vidar Stealer-ის მსგავსად, „ეს მავნე პროგრამა მალავს C&C IP მისამართს Telegram-ის აღწერილობაში დანარჩენი ინფექცია. როგორც ჩანს, ტექნიკა მსგავსია."

საუკეთესო გზა ამ მავნე პროგრამის თავიდან ასაცილებლად არის იმის შემოწმება, თუ საიდან მოდის თქვენი Zoom პროგრამები.

მეშვეობით: რეესტრი (იხსნება ახალ ჩანართში)