Tenga cuidado con el sitio de Zoom que no reconoce, ya que una banda criminal está creando múltiples versiones falsas destinadas a atraer a los usuarios para que descarguen malware que puede robar datos bancarios, direcciones IP y otra información.
Los investigadores de amenazas de la firma de seguridad cibernética Cyble encontraron seis sitios Zoom falsos que ofrecen aplicaciones que si se hace clic en ellas descargarán el malware Vidar Stealer, que también obtiene muchas otras ventajas. Los sitios falsos de Zoom son parte de un esfuerzo más amplio de robo de información, según el Laboratorio de Investigación e Inteligencia de Cyble (CRIL).
“Según nuestras observaciones recientes los delincuentes ejecutan activamente múltiples campañas para propagar a los ladrones de información”, escribieron en un informe esta semana.
“Stealer Logs puede proporcionar acceso a puntos finales comprometidos, que se venden en los mercados de delitos cibernéticos. Hemos visto múltiples infracciones en las que los registros de ladrones han proporcionado el acceso inicial necesario a la red de la víctima”.
Empresas como Zoom brindan a los atacantes un amplio grupo de usuarios para atacar. La base de usuarios de la empresa se ha disparado en los últimos tres años debido a la pandemia de COVID-19, y eso la convierte en un objetivo muy atractivo.
En el segundo trimestre, Zoom reportó 204,100 clientes empresariales, un aumento interanual del 18 por ciento. También generó ingresos de casi 1100 millones de dólares, un aumento del 8 % con respecto al mismo período del año pasado.
Los investigadores de Cyble dijeron que escucharon por primera vez sobre los sitios falsos de Zoom a principios de este mes a partir de un tweet que vieron durante un ejercicio de rutina de búsqueda de amenazas. Encontraron seis sitios de este tipo que todavía están en funcionamiento: zoom-download[.]host; zoom-download[.]space, zoom-download[.]fun, zoomus[.]host, zoomus[.]tech y zoomus[.]sitio web.
Esos sitios redirigen a los usuarios a una URL de GitHub en el backend que muestra las aplicaciones que se pueden descargar. Si un usuario descarga una aplicación maliciosa, coloca dos archivos binarios, ZOOMIN-1.EXE y Decoder.exe, en la carpeta temporal.
El malware se inyecta en MSBuild.exe y luego extrae las direcciones IP que alojan las DLL y los datos de configuración, lo que lo coloca en posición de robar más información. También puede ocultar la dirección IP de su servidor de comando y control (C&C).
“Descubrimos que este malware tenía tácticas, técnicas y procedimientos (TTP) superpuestos con Vidar Stealer”, escribieron los investigadores, y agregaron que, al igual que Vidar Stealer, “esta carga útil de malware oculta la dirección IP de C&C en la descripción de Telegram. El resto de las técnicas de infección parecen ser similares”.
Cyble escribió un informe profundo sobre Vidar Stealer hace un año, diciendo que el malware existe desde 2018. El malware también tiene vínculos con una amenaza similar, Arkei Stealer.
El negocio de la seguridad describió los pasos que las empresas y los usuarios pueden tomar para evitar dicho malware, incluida la no descarga de software hackeado, el uso de contraseñas seguras y la autenticación de múltiples factores, la garantía de actualizaciones automáticas de los sistemas y la capacitación de los empleados para que no abran enlaces no confiables.
Las organizaciones también deben monitorear las balizas de la red para detectar y bloquear los datos que son filtrados por malware o grupos de amenazas, agregó.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.