Versões falsas do Zoom são repassadas com um vírus espião

O software de chamada de vídeo Zoom ganhou bastante popularidade após o início da pandemia de COVID-19, que assolou o mundo nos últimos dois anos. Com as recomendações de limitar o contato físico ao mínimo possível, diversos trabalhadores migraram para o home office. Com isso, eles passaram a usar o Zoom para se manter em contato com colegas de trabalho e empregadores.

Mesmo com a pandemia cada vez mais controlada e as pessoas voltando às suas atividades pré-pandemia, o Zoom continua sendo bastante usado. Parece que as pessoas se acostumaram a ele. E a qualidade do software também ajuda, uma vez que ele funciona muito bem. No entanto, cibercriminosos estão tentando se aproveitar disso para difundir um malware.

Leia também
O que é malware? Conheça os tipos mais comuns
Como descobrir se alguém instalou um aplicativo espião no seu celular?

Spyware em instalador falso do Zoom

Quem descobriu e divulgou a informação foi um pesquisador que se identifica como @idclickthat no Twitter. Ele disse que os cibercriminosos estão usando sites falsos para hospedarem instaladores do Zoom. Porém, os instaladores baixados desses sites falsos são contaminados com um spyware, ou seja, um vírus espião.

https://twitter.com/idclickthat/status/1569350142230204421

A empresa de segurança Cyble também fez uma análise detalhada desse golpe. Segundo eles, o spyware presente nos instaladores contaminados é o Vidar Stealer, que está em atuação desde o ano passado. Este spyware tem por objetivo roubar credenciais de usuário, informações bancárias, senhas salvas no navegador, endereços IP e tantas outras informações confidenciais e sensíveis.

Os pesquisadores descobriram também que haviam seis sites hospedando os instaladores infectados do Zoom. E a única diferença entre a página oficial do programa com as falsas é a presença de um botão de download na imagem que vai no cabeçalho do site. Não está claro como os usuários chegaram até aos sites falsos. Mas, de qualquer forma, eles já foram retirados do ar.

Mecanismo de ação do Vidar Stealer

Figure 3 Execution Flow.webp?fm=pjpg&ixlib=php 3.3

Ao clicar no botão de download, os usuários baixam um arquivo chamado Zoom.exe. Ao ser executado, o pacote descarrega dois arquivos. O instalador legítimo do Zoom e um outro arquivo chamado Decoder.exe. É este último arquivo que instala o spyware Vidar Stealer no computador da vítima.

Uma vez instalado no PC da vítima, o Vidar Stealer extrai um endereço IP de comando e controle de dois perfis criados no Telegram. Os cibercriminosos também usam uma plataforma anônima chamada ieji.de para enviar comandos ao spyware. Estas URLs, de acordo com os pesquisadores da Cyble, possuem arquivos DLL e dados de configuração que são necessários para o funcionamento do Vidar Stealer.

Portanto, é importante sempre ter atenção na hora de baixar ou instalar qualquer programa. Se certifique de realmente fazer o download dos sites oficiais, evitando repositórios ou fazer o download via torrent. Além disso, mantenha a segurança de seu sistema sempre em dia, com as últimas atualizações instaladas e um bom software antivírus rodando.

Fonte: @idclickthat via Malwarebytes Labs e Cyble

Postado por
Siga em:
Compartilhe
Deixe seu comentário
Img de rastreio
Localize algo no site!