Se desideri scaricare la piattaforma di videoconferenza Zoom, assicurati di ricontrollare l’URL Internet da cui stai scaricando, perché ci sono molti siti Web fasulli là fuori che diffondono tutti i tipi di virus e spyware orribili. I ricercatori di Cyble hanno indagato sulle accuse di una vasta campagna rivolta a potenziali utenti Zoom e hanno scoperto sei siti di installazione fasulli che ospitano vari infostealer e altri tipi di malware.
Si è scoperto che Vidar Stealer è in grado di ottenere informazioni finanziarie, password memorizzate, cronologia del browser, indirizzi IP, fatti sui portafogli di criptovaluta e, in alcune situazioni, informazioni MFA.
Zoom, attento a dove scarichi le tue app
‘Sulla base delle nostre recenti osservazioni’, hanno scritto i ricercatori, ‘[i criminali] intraprendono deliberatamente diverse iniziative per diffondere i ladri di informazioni’ (si apre in una nuova scheda). ‘I registri di furto possono essere utilizzati per ottenere l’accesso agli endpoint compromessi, che vengono poi venduti sui mercati della criminalità informatica. Abbiamo osservato una serie di violazioni in cui i registri dei ladri fornivano l’accesso iniziale alla rete della vittima.’
I visitatori verrebbero condotti a un URL GitHub che mostra quali programmi sono disponibili per il download. Se la vittima seleziona l’opzione dannosa, nella cartella temporanea vengono inseriti due programmi: ZOOMIN-1.EXE e Decoder.exe. Secondo il rapporto, il virus si inietta anche in MSBuild.exe ed estrae gli indirizzi IP che ospitano le DLL e i dati di configurazione.
‘Abbiamo scoperto che questo malware condivideva Tactics, Techniques, and Procedures (TTP) con Vidar Stealer’, hanno osservato i ricercatori, aggiungendo che ‘questo payload di malware, come Vidar Stealer, nasconde l’indirizzo IP C&C nella descrizione di Telegram’. I restanti metodi di infezione sembrano essere simili.’ Il modo più efficace per evitare questa infezione è ricontrollare dove acquisisci le tue app Zoom.
