Lorsque Cyble Research and Intelligence Labs (CRIL) effectuait des exercices de chasse aux menaces de routine, il est tombé sur un tweet mentionnant la création de nombreux faux sites Zoom, ce qui a attiré l’attention des chercheurs.
Il existe de nombreuses similitudes dans les interfaces utilisateur de ces sites. Le but de ces sites est d’infecter les personnes avec des logiciels malveillants déguisés en application légitime de Zoom, en utilisant ce site comme un véhicule pour diffuser des logiciels malveillants.
Après avoir mené une enquête plus approfondie, les analystes de la cybersécurité trouvé que Vidar Stealer se répandait sur ces sites. Vidar est un programme malveillant qui vole des informations à ses victimes, notamment les données suivantes :-
- Information bancaire
- Mots de passe enregistrés
- Adresses IP
- Historique du navigateur
- Identifiants de connexion
- Crypto-portefeuilles
Le voleur Arkei est connecté à ce voleur, ce qui signifie que les deux sont liés.
Faux sites Zoom
Il existe un certain nombre de faux sites Zoom actuellement utilisés par les acteurs de la menace, notamment les suivants : –
- zoom-téléchargement[.]héberger
- zoom-téléchargement[.]espace
- zoom-téléchargement[.]amusement
- zoomer[.]héberger
- zoomer[.]technologie
- zoomer[.]site Internet
Une application malveillante est téléchargée depuis le backend des faux sites en accédant à cette URL GitHub :-
- https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip
Dans le dossier temporaire de la machine cible, l’application malveillante dépose deux binaires qui sont :-
Chaîne d’infection
Un binaire .NET malveillant nommé Decoder.exe est injecté dans MSBuild.exe et exécute le code des pirates afin de voler des informations sur la machine.
MSBuild (Microsoft Build Engine) est une plate-forme utilisée pour créer des applications construites à l’aide du .NET Framework. Alors que le fichier ZOOMIN ~ 1.EXE est un fichier propre et qu’il exécute uniquement le programme d’installation Zoom authentique.
L’injection du logiciel malveillant dans MSBuild.exe lui permet de récupérer les adresses IP associées aux DLL et aux informations de configuration qui y sont hébergées.
Par la suite, le malware reçoit les données de configuration des serveurs de commande et de contrôle, ainsi que des DLL. Afin de se supprimer de l’appareil de la victime, le logiciel malveillant utilise les arguments de ligne de commande suivants après avoir exécuté avec succès les commandes suivantes :-
- C:\Windows\System32\cmd.exe » /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
- « C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe » et supprimez C:\PrograData\*.dll et quittez
Recommandations
Ci-dessous, nous avons mentionné toutes les recommandations fournies par les experts en sécurité : –
- L’utilisation de sites Web warez/torrent doit être évitée si vous voulez éviter de télécharger des logiciels piratés.
- Assurez-vous que votre mot de passe est fort.
- Dans la mesure du possible, assurez-vous que l’authentification multifacteur est mise en œuvre.
- Assurez-vous que votre téléphone mobile, votre ordinateur et les autres appareils connectés à Internet sont configurés pour se mettre à jour automatiquement.
- Il est important d’utiliser un programme antivirus de bonne réputation sur tous les appareils que vous connectez à Internet.
- Il est conseillé de ne pas ouvrir de liens ou de pièces jointes non fiables sans avoir d’abord vérifié que les liens et les pièces jointes sont authentiques.
- Vous devez éduquer les employés sur la manipulation en toute sécurité des informations telles que les e-mails de phishing et les URL non fiables.
- Afin d’empêcher la propagation des logiciels malveillants, bloquez les URL qui pourraient être utilisées à cette fin.
- Afin d’empêcher l’exfiltration de données par des logiciels malveillants, la balise doit être surveillée au niveau du réseau.
Télécharger gratuitement SWG – Filtrage Web sécurisé – Livre électronique
