หากคุณต้องการดาวน์โหลดแพลตฟอร์มการประชุมทางวิดีโอของ Zoom (เปิดในแท็บใหม่) อย่าลืมตรวจสอบที่อยู่อินเทอร์เน็ตที่คุณกำลังดาวน์โหลดอีกครั้ง เนื่องจากมีเว็บไซต์ปลอมจำนวนมากที่แพร่กระจายไวรัสและมัลแวร์ประเภทต่างๆ
นักวิจัยทาง Cyble ได้ตรวจสอบรายงานของแคมเปญที่แพร่หลายซึ่งกำหนดเป้าหมายไปยังผู้ใช้ Zoom ที่มีศักยภาพ และค้นพบไซต์การติดตั้งปลอม XNUMX แห่งที่โฮสต์ตัวขโมยข้อมูลต่างๆ และมัลแวร์รูปแบบอื่นๆ
หนึ่งในผู้ขโมยข้อมูลที่ค้นพบคือ Vidar Stealer ซึ่งสามารถขโมยข้อมูลธนาคาร รหัสผ่านที่เก็บไว้ ประวัติการท่องเว็บ ที่อยู่ IP รายละเอียดกระเป๋าเงินคริปโตเคอเรนซี และในบางกรณี ข้อมูล MFA เช่นกัน
แคมเปญต่างๆ
“Según nuestras observaciones recientes, ejecute activamente varias campañas para difundir información sobre los ladrones”, dijeron los investigadores (se abre en una nueva pestaña). “Stealer Logs puede proporcionar acceso a puntos finales comprometidos, que se venden en los mercados de ciberdelincuencia. Hemos visto múltiples infracciones en las que los registros de robo proporcionaron el acceso inicial necesario a la red de la víctima".
Los seis sitios descubiertos están en zoom-descargaanfitrión; zoom-descargaespacio, zoom-descargaacercamiento divertidoanfitrión, zoomustecnología y zoomussitio web y, según The Register, todavía están operativos.
ผู้เข้าชมจะถูกเปลี่ยนเส้นทางไปยัง GitHub URL ที่แสดงแอปที่สามารถดาวน์โหลดได้ หากเหยื่อเลือกตัวที่เป็นอันตราย พวกเขาจะได้รับสองไบนารีในโฟลเดอร์ชั่วคราว: ZOOMIN-1.EXE และ Decoder.exe มัลแวร์ยังแทรกซึมเข้าไปใน MSBuild.exe และแยกที่อยู่ IP ที่โฮสต์ DLL รวมถึงข้อมูลการกำหนดค่า
"Descubrimos que este malware tenía tácticas, técnicas y procedimientos (TTP) superpuestos con Vidar Stealer", escribieron los investigadores, y agregaron que, al igual que Vidar Stealer, "esta carga útil de malware oculta la dirección IP C&C en la descripción de Telegram. El resto de la las técnicas de infección parecen ser similares".
วิธีที่ดีที่สุดในการหลีกเลี่ยงมัลแวร์นี้คือการตรวจสอบว่าโปรแกรม Zoom ของคุณมาจากไหน
ผ่าน: The Registry (เปิดในแท็บใหม่)