حيل الموقع الوهمية تكبير المستخدمين إلى تنزيل رمز قاتل • السجل

حيل الموقع الوهمية تكبير المستخدمين إلى تنزيل رمز قاتل • السجل

احذر من مواقع Zoom غير المألوفة. لأن العصابات الإجرامية قد أنشأت نسخًا مزيفة متعددة تهدف إلى إغراء المستخدمين بتنزيل البرامج الضارة التي تسرق البيانات المصرفية وعناوين IP وغيرها من المعلومات.

اكتشف باحثو التهديدات في شركة Cyble للأمن السيبراني ستة مواقع زووم وهمية تقدم تطبيقات ، عند النقر عليها ، تقوم بتنزيل البرامج الضارة Vidar Stealer. وفقًا لـ Cyble Research and Intelligence Lab (CRIL) ، فإن موقع Zoom المزيف هو جزء من حملة أوسع لسرقة المعلومات.

“بناءً على ملاحظاتنا الأخيرة ، [criminals] إنهم يديرون بنشاط حملات متعددة لنشر البرمجيات الخبيثة لسرقة المعلومات “، كما كتبوا في تقرير هذا الأسبوع.

“يمكن أن توفر سجلات Stealer إمكانية الوصول إلى نقاط النهاية المخترقة التي يتم بيعها في سوق الجرائم الإلكترونية. تم تأكيد ذلك.”

تقدم شركات مثل Zoom مجموعة واسعة من مجموعات المستخدمين التي يمكن للمهاجمين أن يفترسوا بها. ارتفعت قاعدة مستخدمي الشركة على مدار السنوات الثلاث الماضية بسبب جائحة COVID-19 ، مما يجعلها هدفًا جذابًا للغاية.

في الربع الثاني ، أبلغت Zoom عن 204،100 عميل من المؤسسات. وهذا يمثل زيادة بنسبة 18٪ عن العام السابق. بالإضافة إلى ذلك ، بلغت المبيعات حوالي 1.1 مليار دولار أمريكي ، بزيادة 8٪ عن الربع السابق.

سمع باحثو Cyble لأول مرة عن موقع Zoom المزيف في وقت سابق من هذا الشهر سقسقة لقد رأوه خلال التدريبات المنتظمة للبحث عن التهديدات. وجدوا ستة مواقع من هذا القبيل لا تزال قيد التشغيل.[.]المضيف ؛ تكبير التحميل[.]الفضاء ، تكبير التحميل[.]استمتع يا زوموس[.]المضيف ، زوموس[.]تك ، زوموس[.]موقع الكتروني.

تعيد هذه المواقع توجيه المستخدمين إلى عناوين URL الخلفية لـ GitHub التي تعرض تطبيقات قابلة للتنزيل. عندما يقوم المستخدم بتنزيل التطبيق الضار ، يتم إسقاط ثنائيتين ، ZOOMIN-1.EXE و Decoder.exe ، في مجلد مؤقت.

يتم حقن البرنامج الضار في MSBuild.exe ويستخرج عناوين IP التي تستضيف مكتبات DLL وبيانات التكوين حتى يتمكن من سرقة المزيد من المعلومات. يمكنك أيضًا إخفاء عنوان IP لخادم القيادة والتحكم (C&C).

كتب الباحثون: “لقد وجدنا أن هذه البرامج الضارة لها تكتيكات وتقنيات وإجراءات (TTPs) تتداخل مع Vidar Stealer” ، مضيفين أنه ، مثل Vidar Stealer ، “حمولة البرامج الضارة هذه عبارة عن C&C يخفيون عناوين IP الخاصة بهم في أوصاف Telegram الخاصة بهم ، وبقية طريقة العدوى تبدو متشابهة “.

كتب Cyble تقريرًا مفصلاً عن Vidar Stealer قبل عام ، مشيرًا إلى أن البرنامج الضار موجود منذ عام 2018. يحتوي البرنامج الضار أيضًا على روابط لتهديد مماثل ، Arkei Stealer.

يساعد Security Biz الشركات والمستخدمين على حماية أنفسهم من خلال عدم تنزيل البرامج المقرصنة ، واستخدام كلمات مرور قوية ومصادقة متعددة العوامل ، وضمان تحديثات النظام التلقائية ، وتدريب الموظفين على عدم فتح روابط غير موثوق بها. لقد حددنا الخطوات التي يمكنك اتخاذها لتجنب البرامج الضارة مثل هذه.

وأضاف أنه يجب على المنظمات مراقبة منارات الشبكة للكشف عن البيانات التي يتم تسريبها من قبل البرامج الضارة ومجموعات التهديد وحظرها. ®