Falska zoomwebbplatser lurar användare att ladda ner skadlig programvara

Tänk två gånger innan du laddar ner Zoom online: Flera falska sajter dyker upp som påstår sig erbjuda free nedladdningar av de populära programvara för videokonferenserbara för att lura folk att ladda ner skadlig programvara istället.

Cybersäkerhetsexperter ringer i varningsklockan på dessa bedrägliga Zoom-webbplatser, som alla använder samma skadliga programvara, kallad “Vidar Stealer.”

Vidar Stealer är designad för att stjäla information från enheterna den har laddats ner till, vilket ger dåliga skådespelare en bakdörr för att komma åt allt från bankkontoinloggningar till lösenord eller kryptoplånböcker. Här är vad vi vet.

Fake Zoom-webbplatser ser ut som den verkliga affären

Rapporten kommer från cybersäkerhetsföretaget Cyble’s Research and Intelligence Lab (CRIL).

En tweet från en internetbedrägerivakt listade webbadresserna till sex olika men liknande skadliga webbplatser, och det var det som först startade CRIL-utredningen. Detta kanske är självklart, men besök inte dessa webbadresser:

Malware @Zoom-nedladdningar 🤖

/zoom-download.host
/zoom-download.space
/zoom-download.fun
/zoomus.host
/zoomus.tech
/zoomus.webbplats
PDRhttps://t.co/[email protected] @malwrhunterteam @JAMESWT_MHT @illegalFawn @nullcookies @AlvieriD @BumbledBubble @ActorExpose pic.twitter.com/JYq2UJEMQ7

— idclickthat (@idclickthat) 12 september 2022

De falska webbplatserna är designade för att replikera Zoom-programvarans hemsida, komplett med samma design, färger och vänlig orange “Registrera dig, det är free”-knappen för att uppmuntra nya användare. Och eftersom den officiella Zoom-URL – https://zoom.us – använder en “.us”-domän snarare än den vanligare “.com”, är det redan något ovanligt, vilket innebär att de falska webbadresserna inte sticker ut lika mycket .

Alla användare som snubblar på en av dessa falska webbplatser när de försöker ladda ner Zoom kommer inte att se något malplacerat om de inte tittar för noga på URL:en. Men ett klick senare är det för sent.

Offren kommer fortfarande att ladda ner Zoom — men de kommer också att få skadlig programvara

När de har körts, fann forskare, laddas två filer ned: ZOOMIN~1.EXE och Decoder.exe.

“Decoder.exe är en skadlig .NET-binär som injicerar den skadliga stjälarkoden i MSBuild.exe. Microsoft Build Engine (MSBuild) är en plattform som används för att bygga applikationer. ZOOMIN~1.EXE är en ren fil som startar det legitima Zoom-installationsprogrammet.”

Med andra ord kommer offren inte att inse att de har blivit lurade, eftersom de faktiskt fortfarande kommer att få den programvara de ville ha. Samtidigt kommer den skadliga programvaran att förbli oupptäckt och ta bort personlig information.

Hur man håller sig säker online

Lyckligtvis är det relativt enkelt att skydda sig från denna bluff: Ladda inte ner Zoom om du inte är säker på att det är från den officiella webbplatsen. Eller som CRIL uttrycker det, identifiera “legitimiteten för källan innan du laddar ner några körbara filer.”

Ändå är dessa trick förvånansvärt lätta att falla för, och ironiskt nog är de personer som löper störst risk att bli lurade de som är mest säkra på att de är säkra.

Om du är en företagsledare som försöker stärka säkerheten för alla företagsenheter som används av din fjärr- eller hybridarbetare rekommenderar vi en bra fjärråtkomstprogramvarasom kan innehålla funktioner som begränsar nedladdningar.

Antivirus mjukvara är bra också, och en Lösenord ledningsverktyg kan hålla känsliga företagsinloggningar säkra även om en enhet äventyras. Se bara till att dubbelkolla vilken URL du laddar ner dem från – skadlig programvara förklädd som nedladdningsbara säkerhetsverktyg är en annan vanlig hackerbedrägeri.