Si estás buscando descargar la videoconferencia (se abre en una pestaña nueva) plataforma Zoom, asegúrese de verificar dos veces la dirección de Internet desde la que está descargando, porque hay muchos sitios web falsos que propagan todo tipo de virus y malware desagradables.
Los investigadores de Cyble han estado investigando informes de una campaña generalizada dirigida a usuarios potenciales de Zoom y han descubierto seis sitios de instalación falsos que albergan varios ladrones de información y otras variantes de malware.
Uno de los ladrones de información descubiertos fue Vidar Stealer, capaz de robar información bancaria, contraseñas almacenadas, historial de navegación, direcciones IP, detalles sobre billeteras de criptomonedas y, en algunos casos, también información de MFA.
Varias campañas
«Con base en nuestras observaciones recientes, [criminals] ejecutar activamente varias campañas para propagar los ladrones de información», dijeron los investigadores (se abre en una pestaña nueva). «Stealer Logs puede proporcionar acceso a puntos finales comprometidos, que se venden en los mercados de delitos cibernéticos. Hemos visto múltiples infracciones en las que los registros de ladrones han proporcionado el acceso inicial necesario a la red de la víctima».
Los seis sitios descubiertos son zoom-download[.]anfitrión; zoom-descarga[.]espacio, zoom-descarga[.]divertido, zoomus[.]anfitrión, zoomus[.]tecnología y zoomus[.]sitio web y, según El registrosiguen operativos.
Los visitantes serían redirigidos a una URL de GitHub que muestra qué aplicaciones pueden descargar. Si la víctima elige el malicioso, recibe dos archivos binarios en la carpeta temporal: ZOOMIN-1.EXE y Decoder.exe. El malware también se inyecta en MSBuild.exe y extrae las direcciones IP que alojan las DLL, así como los datos de configuración, se dijo.
«Descubrimos que este malware tenía tácticas, técnicas y procedimientos (TTP) superpuestos con Vidar Stealer», escribieron los investigadores, y agregaron que, al igual que Vidar Stealer, «esta carga útil de malware oculta la dirección IP de C&C en la descripción de Telegram. El resto de las técnicas de infección parecen ser similares».
La mejor manera de evitar este malware es verificar dos veces de dónde obtiene sus programas de Zoom.
Vía: El Registro (se abre en una pestaña nueva)