X
GO

Lajmet

ZOOM – Malware i maskuar si aplikacion legjitim

  • 21 shtator 2022
  • Autori: Rrustem Loshi
  • Numri i shikimeve: 714
  • 0 Komentet
ZOOM – Malware i maskuar si aplikacion legjitim

Derisa Cyble Research and Intelligence Labs (CRIL) po kryente ushtrime rutinë të zbulimit të kërcënimeve kibernetike, hasi në një cicërimë (tweet) që përmendte krijimin e shumë faqeve të rreme Zoom, gjë që tërhoqi vëmendjen e hulumtuesve.

Ka shumë ngjashmëri në ndërfaqet e përdoruesve të këtyre faqeve. Qëllimi i këtyre faqeve është të infektojnë njerëzit me malware të maskuar si aplikacioni legjitim i Zoom-it, duke e përdorur këtë faqe si një mjet për përhapjen e malware-it.

Pas kryerjes së hetimeve, analistët e sigurisë kibernetike zbuluan se Vidar Stealer po përhapej në këto faqe. Vidar është një program keqdashës që vjedh informacione nga viktimat e tij duke përfshirë të dhënat e mëposhtme:

  • Informacione Bankare
  • Fjalëkalimet e ruajtura
  • IP Adresat
  • Historinë e shfletuesit
  • Kredencialet e kyçjes
  • Kuletat e kripto-valutave

Aktualisht ka disa faqe të rreme Zoom që përdoren nga hakerët, duke përfshirë:

  • zoom-download[.]host
  • zoom-download[.]space
  • zoom-download[.]fun
  • zoomus[.]host
  • zoomus[.]tech
  • zoomus[.]website

Një aplikacion me qëllim të keq shkarkohet nga pjesa e pasme e faqeve të rreme duke lundruar në këtë URL të GitHub:

  • https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip

Në dosjen e përkohshme të makinës së synuar, aplikacioni me qëllim të keq lëshon dy binare që janë:

  • ZOOMIN~1.EXE
  • Decoder.exe

Infektimi ndodhë kur një skedar (file) .NET e quajtur Decoder.exe injektohet në MSBuild.exe[i] dhe ekzekuton kodin e hakerëve në mënyrë që të vjedhë informacione nga kompjuteri, ndërsa skedari ZOOMIN~1.EXE është një skedar i pastër dhe ekzekuton vetëm instaluesin origjinal të Zoom-it.

Injektimi i malware-it në MSBuild.exe e lejon atë të marrë adresat IP të lidhura me DLL-të dhe informacionin e konfigurimit që strehohet atje.

Më pas, malware-i merr të dhënat e konfigurimit nga serverët e komandës dhe kontrollit, si dhe skedarët .DLL. Për të hequr veten nga pajisja e viktimës, malware përdor komandat e mëposhtme pasi të ketë ekzekutuar kodin për infektim:

  • C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
  • “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe” & del C:\PrograData\*.dll & exit

Rekomandime

Në vijim kemi përmendur të gjitha rekomandimet e dhëna nga ekspertët e sigurisë:

  • Duhet të shmanget përdorimi i faqeve të internetit warez/torrent nëse dëshironi të shmangni shkarkimin e softuerit pirat.
  • Sigurohuni që fjalëkalimi juaj të jetë i fortë.
  • Përdorni vërtetimi me shumë faktorë, sa të jetë e mundur.
  • Sigurohuni që celulari i juaj, kompjuteri dhe pajisjet e tjera të lidhura me internetin të marrin përditësimet automatikisht.
  • Përdorni një program të mirë antivirus në të gjitha pajisjet që lidheni me internetin.
  • Këshillohet që të mos hapni lidhje (links) të pabesueshme ose bashkëngjitje e-maili pa verifikuar më parë që lidhjet dhe bashkëngjitjet janë autentike.
  • Edukoni punonjësit në lidhje me trajtimin e sigurt të informacioneve të tilla si e-mailet “phishing” dhe URL-të e dyshimta.
  • Për të parandaluar përhapjen e malware-ëve, bllokoni URL-të që mund të përdoren për ta bërë këtë gjë.
  • Për të parandaluar eksfiltrimin[ii] e të dhënave nga malware, beacon[iii] duhet të monitorohet në nivel rrjeti.

 

 

[i] MSBuild (Microsoft Build Engine) është një platformë që përdoret për të krijuar aplikacione që janë ndërtuar duke përdorur .NET Framework.

[ii] Eksfiltrimi është një transferim i paautorizuar skedarësh që krijon një shkelje sigurie duke lejuar personat e rrezikshëm jashtë perimetrit të sigurisë të kenë qasje në informacione konfidenciale.

[iii] Beacon u lejon hakerëve të dinë se kanë infektuar me sukses një sistem, në mënyrë që të dërgojnë komanda dhe të kryejnë një sulm

Print
Kategoria: Lajme
Vlerëso artikullin:
5.0

x

Kurset më të shikuara

RSS