Cyble Research and Intelligence Labs (CRIL) rutin tehdit avı tatbikatları yaparken, çok sayıda sahte Zoom sitesinin oluşturulduğundan bahseden bir tweet ile karşılaştı ve araştırmacıların dikkatini çekti.
Bu sitelerin kullanıcı arayüzlerinde çok fazla benzerlik var. Bu sitelerin amacı, bu siteyi kötü amaçlı yazılım yaymak için bir araç olarak kullanarak, Zoom’un meşru uygulaması gibi görünen kötü amaçlı yazılımları insanlara bulaştırmaktır.
Daha fazla araştırma yaptıktan sonra siber güvenlik analistleri, Vidar Stealer’ın bu sitelere yayıldığını tespit etti. Vidar, aşağıdaki veriler de dahil olmak üzere kurbanlarından bilgi çalan kötü amaçlı bir programdır: –
- Bankacılık bilgisi
- Kayıtlı Şifreler
- IP Adresleri
- Tarayıcı geçmişi
- Giriş kimlik
- kripto cüzdanlar
Arkei hırsızı bu hırsıza bağlı, yani her ikisi de ilişkili.
Sahte Yakınlaştırma siteleri
Şu anda tehdit aktörleri tarafından kullanılan, aşağıdakiler de dahil olmak üzere bir dizi sahte Zoom sitesi var: –
- yakınlaştırma-indirme[.]ev sahibi
- yakınlaştırma-indirme[.]Uzay
- yakınlaştırma-indirme[.]eğlence
- yakınlaştırma[.]ev sahibi
- yakınlaştırma[.]teknoloji
- yakınlaştırma[.]İnternet sitesi
Bu GitHub URL’sine giderek sahte sitelerin arka ucundan kötü amaçlı bir uygulama indirilir: –
- https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip
Hedef makinenin geçici klasöründe, kötü amaçlı uygulama iki ikili dosya bırakır: –
Enfeksiyon Zinciri
Decoder.exe adlı kötü amaçlı bir .NET ikili dosyası MSBuild.exe’ye enjekte edilir ve bilgisayardan bilgi çalmak için bilgisayar korsanlarının kodunu yürütür.
MSBuild (Microsoft Build Engine), .NET Framework kullanılarak oluşturulmuş uygulamalar oluşturmak için kullanılan bir platformdur. ZOOMIN~1.EXE dosyası temiz bir dosyadır ve yalnızca orijinal Zoom yükleyicisini çalıştırır.
Kötü amaçlı yazılımın MSBuild.exe’ye enjekte edilmesi, onun DLL’lerle ilişkili IP adreslerini ve orada barındırılan yapılandırma bilgilerini almasını sağlar.
Bundan sonra, kötü amaçlı yazılım, DLL’lerin yanı sıra komut ve kontrol sunucularından yapılandırma verilerini alır. Kötü amaçlı yazılım, kendisini kurbanın cihazından kaldırmak için aşağıdaki komutları başarıyla yürüttükten sonra aşağıdaki komut satırı argümanlarını kullanır:-
- C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & zaman aşımı /t 6 & del /f /q
- “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe” ve del C:\PrograData\*.dll ve çıkış
Öneriler
Aşağıda, güvenlik uzmanları tarafından sağlanan tüm önerilerden bahsettik: –
- Korsan yazılım indirmekten kaçınmak istiyorsanız, warez/torrent web sitelerinin kullanımından kaçınılmalıdır.
- Parolanızın güçlü olduğundan emin olun.
- Mümkün olduğunda, çok faktörlü kimlik doğrulamanın uygulandığından emin olun.
- Cep telefonunuzun, bilgisayarınızın ve internete bağlı diğer cihazlarınızın otomatik olarak güncellenecek şekilde yapılandırıldığından emin olun.
- İnternete bağladığınız tüm cihazlarda saygın bir anti-virüs programı kullanmak önemlidir.
- Bağlantıların ve eklerin orijinal olduğunu doğrulamadan güvenilmeyen bağlantıları veya e-posta eklerini açmamanız önerilir.
- Kimlik avı e-postaları ve güvenilmeyen URL’ler gibi bilgilerin güvenli bir şekilde ele alınması konusunda çalışanları eğitmelisiniz.
- Kötü amaçlı yazılımların yayılmasını önlemek için, bunu yapmak için kullanılabilecek URL’leri engelleyin.
- Kötü amaçlı yazılımlar tarafından veri sızmasını önlemek için, beacon ağ düzeyinde izlenmelidir.
Ücretsiz Yazılım Yazılımını İndirin – Güvenli Web Filtreleme – E-kitap