Sahte siteler, Zoom kullanıcılarını ölümcül kod indirmeye kandırıyor • Kayıt


Bir suç çetesi, kullanıcıları bankacılık verilerini, IP adreslerini ve diğer bilgileri çalabilecek kötü amaçlı yazılımları indirmeye yönlendirmeyi amaçlayan birden fazla sahte sürüm oluşturduğundan, tanımadığınız Zoom sitesine dikkat edin.

Siber güvenlik firması Cyble’daki tehdit araştırmacıları, tıklandığında Vidar Stealer kötü amaçlı yazılımını indirecek uygulamalar sunan altı sahte Zoom sitesi buldu. Cyble Research and Intelligence Lab’e (CRIL) göre, sahte Zoom siteleri daha geniş bir bilgi çalma çabasının parçası.

“Son gözlemlerimize dayanarak, [criminals] bilgi hırsızlarını yaymak için aktif olarak birden fazla kampanya yürütün” diye yazdılar. bildiri bu hafta.

“Hırsız Günlükleri, siber suç pazarlarında satılan güvenliği ihlal edilmiş uç noktalara erişim sağlayabilir. Çalınan günlüklerin kurbanın ağına gerekli ilk erişimi sağladığı birçok ihlal gördük.”

gibi şirketler yakınlaştır saldırganlara avlanacakları geniş bir kullanıcı grubu verin. Şirketin kullanıcı tabanı, COVID-19 salgını nedeniyle son üç yılda fırladı ve bu onu çok çekici bir hedef haline getiriyor.

İkinci çeyrekte, Zoom rapor edildi 204.100 kurumsal müşteri, yıldan yıla yüzde 18 artış. Ayrıca, geçen yılın aynı dönemine göre yüzde 8’lik bir artışla yaklaşık 1,1 milyar dolarlık gelir elde etti.

Cyble araştırmacıları, sahte Zoom sitelerini ilk kez bu ayın başlarında bir uzmandan duyduklarını söylediler. cıvıldamak Rutin bir tehdit avı tatbikatı sırasında gördüler. Halen faaliyette olan altı site buldular: yakınlaştırma-indirme[.]ev sahibi; yakınlaştırma-indirme[.]boşluk, yakınlaştırma-indir[.]eğlence, yakınlaştırma[.]ev sahibi, zoomus[.]teknoloji ve zoomus[.]İnternet sitesi.

Bu siteler, kullanıcıları arka uçta indirilebilecek uygulamaları gösteren bir GitHub URL’sine yönlendirir. Bir kullanıcı kötü amaçlı bir uygulama indirirse, ZOOMIN-1.EXE ve Decoder.exe adlı iki ikili dosyayı geçici klasöre bırakır.

Kötü amaçlı yazılım MSBuild.exe’ye enjekte edilir ve ardından DLL’leri ve yapılandırma verilerini barındıran IP adreslerini çıkararak onu daha fazla bilgi çalacak bir konuma getirir. Ayrıca komut ve kontrol (C&C) sunucusunun IP adresini de gizleyebilir.

Araştırmacılar, “Bu kötü amaçlı yazılımın Vidar Stealer ile örtüşen Taktikler, Teknikler ve Prosedürlere (TTP’ler) sahip olduğunu bulduk” diye yazdı ve Vidar Stealer gibi, “bu kötü amaçlı yazılım yükünün Telegram açıklamasında C&C IP adresini gizlediğini ekledi. enfeksiyon teknikleri benzer görünüyor.”

Cyble derin bir dalış yazdı bildiri Vidar Stealer hakkında bir yıl önce, kötü amaçlı yazılımın 2018’den beri var olduğunu söyleyerek. Kötü amaçlı yazılımın ayrıca benzer bir tehdit olan Arkei Stealer ile bağlantıları var.

Güvenlik şirketi, korsan yazılım indirmemek, güçlü parolalar ve çok faktörlü kimlik doğrulama kullanmak, sistemlerin otomatik güncellemelerini sağlamak ve çalışanları güvenilmeyen bağlantıları açmamak için eğitmek de dahil olmak üzere, kuruluşların ve kullanıcıların bu tür kötü amaçlı yazılımlardan kaçınmak için atabilecekleri adımları özetledi.

Kuruluşların, kötü amaçlı yazılım veya tehdit grupları tarafından sızdırılan verileri tespit etmek ve engellemek için ağ işaretlerini de izlemesi gerektiğini ekledi. ®





Kaynak : https://go.theregister.com/feed/www.theregister.com/2022/09/22/zoom_malware_infosteal_cyble/

Yorum yapın