- Publicité -


New Malware Spreading as Legitimate Zoom Application

Lorsque Cyble Research and Intelligence Labs (CRIL) effectuait des exercices de chasse aux menaces de routine, il est tombé sur un tweet mentionnant la création de nombreux faux sites Zoom, ce qui a attiré l’attention des chercheurs.

Il existe de nombreuses similitudes dans les interfaces utilisateur de ces sites. Le but de ces sites est d’infecter les personnes avec des logiciels malveillants déguisés en application légitime de Zoom, en utilisant ce site comme un véhicule pour propager des logiciels malveillants.

ZdgPS7Yga9Bba0IMg5SJF4d0um

Après avoir mené une enquête plus approfondie, les analystes de la cybersécurité trouvé que Vidar Stealer se répandait sur ces sites. Vidar est un programme malveillant qui vole des informations à ses victimes, notamment les données suivantes :-

- Publicité -
  • Information bancaire
  • Mots de passe enregistrés
  • Adresses IP
  • Historique du navigateur
  • Identifiants de connexion
  • Crypto-portefeuilles

Le voleur Arkei est connecté à ce voleur, ce qui signifie que les deux sont liés.

Faux sites Zoom

Il existe un certain nombre de faux Zoom sites actuellement utilisés par les acteurs de la menace, y compris les suivants : –

  • zoom-téléchargement[.]héberger
  • zoom-téléchargement[.]espace
  • zoom-téléchargement[.]amusement
  • zoomer[.]héberger
  • zoomer[.]technologie
  • zoomer[.]site Internet

Une application malveillante est téléchargée depuis le backend des faux sites en accédant à cette URL GitHub :-

  • https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip

Dans le dossier temporaire de la machine cible, l’application malveillante dépose deux binaires qui sont :-

Sqpf3HlBf4SChCRDX1CllURpOqjeDm4N7XJoQn3EsKe njxUiN3hr R2q99QhPPkyiFf1gLxtcrOm 21Yc5NvpofMbgyqeS3Q9P2EVppPcLUkUZepq1kEbFeV07PBC4 fZjh Hhy8OhbqqFc955 M22f5t10RDjDEUmLL7ZgQcow4vKM9JMf ERN2g

Chaîne d’infection

Un binaire .NET malveillant nommé Decoder.exe est injecté dans MSBuild.exe et exécute le code des pirates afin de voler des informations sur la machine.

MSBuild (Microsoft Build Engine) est une plate-forme utilisée pour créer des applications construites à l’aide du .NET Framework. Alors que le fichier ZOOMIN ~ 1.EXE est un fichier propre et qu’il exécute uniquement le programme d’installation Zoom authentique.

mWmQPseJt6eC 8ZodHD0mXiWhJFe6rL4BePTdWD4fMqECrAkeWbLX8oWACmSOVbpeSytaETqTZmaF Kh0fMsfgf1f6lMxcOM3oEdZKYiR3UHWzrMzbCHLJ 9BNdj4fDc5dukHq8bDwX4e4OocJUZvv j0wbQa

L’injection du logiciel malveillant dans MSBuild.exe lui permet de récupérer les adresses IP associées aux DLL et aux informations de configuration qui y sont hébergées.

Par la suite, le malware reçoit les données de configuration des serveurs de commande et de contrôle, ainsi que des DLL. Afin de se supprimer de l’appareil de la victime, le logiciel malveillant utilise les arguments de ligne de commande suivants après avoir exécuté avec succès les commandes suivantes :-

  • C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
  • « C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe » et supprimez C:\PrograData\*.dll et quittez

Recommandations

Ci-dessous, nous avons mentionné toutes les recommandations fournies par les experts en sécurité : –

  • L’utilisation de sites Web warez/torrent doit être évitée si vous voulez éviter de télécharger des logiciels piratés.
  • Assurez-vous que votre mot de passe est fort.
  • Dans la mesure du possible, assurez-vous que l’authentification multifacteur est mise en œuvre.
  • Assurez-vous que votre téléphone mobile, votre ordinateur et les autres appareils connectés à Internet sont configurés pour se mettre à jour automatiquement.
  • Il est important d’utiliser un programme antivirus de bonne réputation sur tous les appareils que vous connectez à Internet.
  • Il est conseillé de ne pas ouvrir de liens ou de pièces jointes non fiables sans avoir d’abord vérifié que les liens et les pièces jointes sont authentiques.
  • Vous devez éduquer les employés sur la manipulation en toute sécurité des informations telles que les e-mails de phishing et les URL non fiables.
  • Afin d’empêcher la propagation des logiciels malveillants, bloquez les URL qui pourraient être utilisées à cette fin.
  • Afin d’empêcher l’exfiltration de données par des logiciels malveillants, la balise doit être surveillée au niveau du réseau.

Télécharger gratuitement SWG – Filtrage Web sécurisé – Livre électronique

Rate this post
Avatar
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici