Вредонос крадет данные пользователей Zoom.
https://www.securitylab.ru/upload/ib...trwhtdimzh.png
Исследователи из Cyble Research and Intelligence Labs (CRIL) обнаружили множество поддельных сайтов Zoom, созданных для распространения вредоносного ПО. Сайты копируют интерфейс оригинала и маскируют вредоносное ПО под легитимное приложение.
Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.
Vidar нацелен на:<ul><li>Банковские данные;</li>
</ul><ul><li>Сохраненные пароли;</li>
</ul><ul><li>IP-адреса;</li>
</ul><ul><li>История браузера;</li>
</ul><ul><li>Учетные данные для входа в систему;</li>
</ul><ul><li>Криптокошельки.</li>
</ul>А вот список поддельных сайтов Zoom, которых следует избегать:<ul><li>zoom-download[.]host</li>
</ul><ul><li>zoom-download[.]space</li>
</ul><ul><li>zoom-download[.]fun</li>
</ul><ul><li>zoomus[.]host</li>
</ul><ul><li>zoomus[.]tech</li>
</ul><ul><li>zoomus[.]website</li>
</ul>Цепочка заражения выглядит так:
Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:<ul><li>ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;</li>
</ul><ul><li>Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.</li>
</ul>А для того, чтобы не оставить за собой следов и/или избежать обнаружения, вредонос две команды:<ul><li>"C:\Windows\System32\cmd.ex e" /c taskkill /im MSBuild.exe /f &amp; timeout /t 6 &amp; del /f /q</li>
</ul><ul><li>"C:\Windows\Microsoft.NET\Framework\v4. 0.30319\MSB uild.exe" &amp; del C:\PrograData\*.dll &amp; exit</li>
</ul>Эксперты рекомендуют пользователям оставаться внимательными, смотреть на ссылки и не загружать файлы из неизвестных источников.