Si vous cherchez à télécharger la visioconférence (s’ouvre dans un nouvel onglet) plateforme Zoom, assurez-vous de bien vérifier l’adresse Internet à partir de laquelle vous téléchargez, car il existe de nombreux faux sites Web qui propagent toutes sortes de virus et de logiciels malveillants.
Les chercheurs de Cyble ont enquêté sur les rapports d’une campagne généralisée ciblant les utilisateurs potentiels de Zoom et ont ainsi découvert six faux sites d’installation qui hébergent divers voleurs d’informations et d’autres variantes de logiciels malveillants.
L’un des voleurs d’informations découverts était Vidar Stealer, capable de voler des informations bancaires, des mots de passe stockés, l’historique du navigateur, des adresses IP, des détails sur les portefeuilles de crypto-monnaie et, dans certains cas, des informations MFA également.
Campagnes multiples
“Sur la base de nos observations récentes, [criminals] mènent activement plusieurs campagnes pour diffuser des voleurs d’informations », les chercheurs a dit (s’ouvre dans un nouvel onglet). “Les Stealer Logs peuvent donner accès à des terminaux compromis, qui sont vendus sur les marchés de la cybercriminalité. Nous avons constaté plusieurs violations où les Stealer Logs ont fourni l’accès initial nécessaire au réseau de la victime.”
Les six sites découverts sont en zoom-téléchargement[.]héberger; zoom-téléchargement[.]espace, zoom-téléchargement[.]amusement, zoom[.]hôte, zoomus[.]technologie et zoomus[.]site Web et, selon Le registresont toujours opérationnels.
Les visiteurs seraient redirigés vers une URL GitHub indiquant les applications qu’ils peuvent télécharger. Si la victime choisit le malveillant, elle reçoit deux binaires dans le dossier temporaire : ZOOMIN-1.EXE et Decoder.exe. Le logiciel malveillant s’injecte également dans MSBuild.exe et extrait les adresses IP hébergeant les DLL, ainsi que les données de configuration, a-t-on dit.
“Nous avons constaté que ce malware avait des tactiques, des techniques et des procédures (TTP) qui se chevauchaient avec Vidar Stealer”, ont écrit les chercheurs, ajoutant que, comme Vidar Stealer, “cette charge utile de malware cache l’adresse IP C&C dans la description de Telegram. Le reste de les techniques d’infection semblent être similaires.”
La meilleure façon d’éviter ce logiciel malveillant est de vérifier d’où proviennent vos programmes Zoom.
Passant par: Le registre (s’ouvre dans un nouvel onglet)