Waspadalah terhadap situs Zoom yang tidak Anda kenal, karena geng kriminal membuat beberapa versi palsu yang bertujuan memikat pengguna untuk mengunduh malware yang dapat mencuri data perbankan, alamat IP, dan informasi lainnya.
Peneliti ancaman di perusahaan cybersecurity Cyble menemukan enam situs Zoom palsu yang menawarkan aplikasi yang, jika diklik, akan mengunduh malware Vidar Stealer, yang juga mengambil banyak barang lainnya. Situs Zoom palsu adalah bagian dari upaya mencuri informasi yang lebih luas, menurut Cyble Research and Intelligence Lab (CRIL).
Perusahaan seperti Zoom memberi penyerang kelompok pengguna yang luas untuk dimangsa. Basis pengguna perusahaan telah meroket selama tiga tahun terakhir karena pandemi COVID-19, dan itu menjadikannya target yang sangat menarik.
Pada kuartal kedua, Zoom melaporkan 204.100 pelanggan perusahaan, meningkat 18 persen dari tahun ke tahun. Itu juga menghasilkan pendapatan hampir $ 1,1 miliar, melonjak 8 persen dibandingkan periode yang sama tahun lalu.
Mereka kemudian menemukan enam situs yang masih beroperasi: zoom-download[.]host; zoom-download[.]space, zoom-download[.]menyenangkan, zoomus[.]host, zoomus[.]tech, dan zoomus[.]website.
Situs-situs tersebut mengarahkan pengguna ke URL GitHub di backend yang menunjukkan aplikasi yang dapat diunduh. Jika pengguna mengunduh aplikasi berbahaya, itu menjatuhkan dua binari ZOOMIN-1.EXE dan Decoder.exe ke dalam folder sementara.
Malware disuntikkan ke MSBuild.exe dan kemudian mengekstrak alamat IP yang menampung DLL dan data konfigurasi, menempatkannya pada posisi untuk mencuri lebih banyak informasi. Itu juga dapat menyembunyikan alamat IP dari server command-and-control (C&C).
“Kami menemukan bahwa malware ini memiliki Tactics, Techniques, and Procedures (TTPs) yang tumpang tindih dengan Vidar Stealer,” tulis para peneliti, menambahkan bahwa, seperti Vidar Stealer, “payload malware ini menyembunyikan alamat IP C&C dalam deskripsi Telegram. teknik infeksi tampaknya serupa.”
Cyble menulis laporan mendalam tentang Vidar Stealer setahun yang lalu, mengatakan bahwa malware tersebut telah ada sejak 2018. Malware tersebut juga memiliki tautan ke ancaman serupa, Arkei Stealer.
Biz keamanan menguraikan langkah-langkah yang dapat diambil perusahaan dan pengguna untuk menghindari malware semacam itu, termasuk tidak mengunduh perangkat lunak bajakan, menggunakan kata sandi yang kuat dan otentikasi multi-faktor, memastikan pembaruan sistem secara otomatis, dan melatih karyawan untuk tidak membuka tautan yang tidak tepercaya.
Organisasi juga harus memantau suar jaringan untuk mendeteksi dan memblokir data yang dieksfiltrasi oleh malware atau kelompok ancaman, tambahnya.
Sumber: The Register
