ZOOM – Malware i maskuar si aplikacion legjitim

Derisa Cyble Research and Intelligence Labs (CRIL) po kryente ushtrime rutinë të zbulimit të kërcënimeve kibernetike, hasi në një cicërimë (tweet) që përmendte krijimin e shumë faqeve të rreme Zoom, gjë që tërhoqi vëmendjen e hulumtuesve.

Ka shumë ngjashmëri në ndërfaqet e përdoruesve të këtyre faqeve. Qëllimi i këtyre faqeve është të infektojnë njerëzit me malware të maskuar si aplikacioni legjitim i Zoom-it, duke e përdorur këtë faqe si një mjet për përhapjen e malware-it.

Pas kryerjes së hetimeve, analistët e sigurisë kibernetike zbuluan se Vidar Stealer po përhapej në këto faqe. Vidar është një program keqdashës që vjedh informacione nga viktimat e tij duke përfshirë të dhënat e mëposhtme:

• Informacione Bankare
• Fjalëkalimet e ruajtura
• IP Adresat
• Historinë e shfletuesit
• Kredencialet e kyçjes
• Kuletat e kripto-valutave

Aktualisht ka disa faqe të rreme Zoom që përdoren nga hakerët, duke përfshirë:

• zoom-download[.]host
• zoom-download[.]space
• zoom-download[.]fun
• zoomus[.]host
• zoomus[.]tech
• zoomus[.]website

Një aplikacion me qëllim të keq shkarkohet nga pjesa e pasme e faqeve të rreme duke lundruar në këtë URL të GitHub:

• https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip

Në dosjen e përkohshme të makinës së synuar, aplikacioni me qëllim të keq lëshon dy binare që janë:

• ZOOMIN~1.EXE
• Decoder.exe

Infektimi ndodhë kur një skedar (file) .NET e quajtur Decoder.exe injektohet në MSBuild.exe[i] dhe ekzekuton kodin e hakerëve në mënyrë që të vjedhë informacione nga kompjuteri, ndërsa skedari ZOOMIN~1.EXE është një skedar i pastër dhe ekzekuton vetëm instaluesin origjinal të Zoom-it.

Injektimi i malware-it në MSBuild.exe e lejon atë të marrë adresat IP të lidhura me DLL-të dhe informacionin e konfigurimit që strehohet atje.

Më pas, malware-i merr të dhënat e konfigurimit nga serverët e komandës dhe kontrollit, si dhe skedarët .DLL. Për të hequr veten nga pajisja e viktimës, malware përdor komandat e mëposhtme pasi të ketë ekzekutuar kodin për infektim:

• C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
• “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe” & del C:\PrograData\*.dll & exit

Rekomandime

Në vijim kemi përmendur të gjitha rekomandimet e dhëna nga ekspertët e sigurisë:

• Duhet të shmanget përdorimi i faqeve të internetit warez/torrent nëse dëshironi të shmangni shkarkimin e softuerit pirat.
• Sigurohuni që fjalëkalimi juaj të jetë i fortë.
• Përdorni vërtetimi me shumë faktorë, sa të jetë e mundur.
• Sigurohuni që celulari i juaj, kompjuteri dhe pajisjet e tjera të lidhura me internetin të marrin përditësimet automatikisht.
• Përdorni një program të mirë antivirus në të gjitha pajisjet që lidheni me internetin.
• Këshillohet që të mos hapni lidhje (links) të pabesueshme ose bashkëngjitje e-maili pa verifikuar më parë që lidhjet dhe bashkëngjitjet janë autentike.
• Edukoni punonjësit në lidhje me trajtimin e sigurt të informacioneve të tilla si e-mailet “phishing” dhe URL-të e dyshimta.
• Për të parandaluar përhapjen e malware-ëve, bllokoni URL-të që mund të përdoren për ta bërë këtë gjë.
• Për të parandaluar eksfiltrimin[ii] e të dhënave nga malware, beacon[iii] duhet të monitorohet në nivel rrjeti.