Cyble araştırmacıları, potansiyel Zoom kullanıcılarını hedef alan yaygın bir kampanyanın raporlarını araştırıyor ve çeşitli bilgi hırsızlarını ve diğer kötü amaçlı yazılım türevlerini barındıran altı sahte yükleme sitesi ortaya çıkardı. Ortaya çıkan bilgi hırsızlarından biri, bankacılık bilgilerini, saklanan şifreleri, tarayıcı geçmişini, IP adreslerini, kripto para cüzdanlarıyla ilgili ayrıntıları ve bazı durumlarda MFA bilgilerini de çalabilen Vidar Stealer.

Araştırmacılar, "Son gözlemlerimize dayanarak, suçlular bilgi hırsızlarını yaymak için aktif olarak birden fazla kampanya yürütüyor" diyor. "Hırsız Günlükleri, siber suç pazarlarında satılan güvenliği ihlal edilmiş uç noktalara erişim sağlayabilir. Hırsız günlüklerinin kurbanın ağına gerekli ilk erişimi sağladığı birçok ihlal gördük.”

Ortaya çıkarılan altı site (zoom-download.host, zoom-download.space, zoom-download.fun, zoomus.host, zoomus.tech ve zoomus.web) The Register'a göre hala çalışır durumda.

Ziyaretçiler, hangi uygulamaları indirebileceklerini gösteren bir GitHub URL'sine yönlendiriliyor Kurban kötü niyetli olanı seçerse, geçici klasörde iki ikili dosya alır: ZOOMIN-1.EXE ve Decoder.exe. Kötü amaçlı yazılımın ayrıca kendisini MSBuild.exe'ye enjekte ettiği ve DLL'leri barındıran IP adreslerini ve ayrıca yapılandırma verilerini çektiği söylendi.

Araştırmacılar, "Bu kötü amaçlı yazılımın Vidar Stealer ile örtüşen Taktikler, Teknikler ve Prosedürlere (TTP'ler) sahip olduğunu bulduk" diyor, "bu kötü amaçlı yazılım yükünün Telegram açıklamasında C&C IP adresini gizlediğini ekledi. enfeksiyon teknikleri benzer görünüyor."

Bu kötü amaçlı yazılımdan kaçınmanın en iyi yolu, Zoom programlarınızı nereden aldığınızı iki kez kontrol etmek.