mer. Oct 5th, 2022

Les pirates diffusent des logiciels malveillants via six faux sites Web Zoom, qu’ils utilisent pour accéder à une grande quantité de données sensibles de leurs victimes.

Les chercheurs en sécurité ont découvert six faux sites Web Zoom que les pirates utilisent pour diffuser des logiciels malveillants, à travers lesquels ils volent une grande quantité de données à leurs victimes. Cela inclut parfois les mots de passe et les coordonnées bancaires enregistrés. Les utilisateurs doivent prendre des mesures pour se protéger de telles attaques.

Les faux sites Web semblent authentiques, mais distribuent des logiciels malveillants

Les employés de la société de cybersécurité Cyble attirent l’attention sur les faux sites Web de Zoom. Les visiteurs des six sites identifiés l’utilisent pour télécharger des logiciels malveillants très similaires à Vidar Stealer.

Il s’agit d’un voleur d’informations qui collecte de nombreuses informations à partir des systèmes de ses victimes. Il s’agit notamment des coordonnées bancaires, des mots de passe enregistrés, des adresses IP, des historiques de navigation, des informations de connexion et des portefeuilles cryptographiques. Selon les compétences du développeur de logiciels malveillants, ces données pourraient se retrouver avec plus d’un pirate informatique.

Les domaines concernés, que les chercheurs en sécurité ont découverts via un tweet, sont les suivants :

  • agrandir le téléchargement[.]héberger
  • agrandir le téléchargement[.]espace
  • agrandir le téléchargement[.]amusement
  • Zoom[.]héberger
  • Zoom[.]technologie
  • Zoom[.]placer

« Tous ces sites partagent la même interface utilisateur. Ces pages sont créées avec l’intention expresse de faire proliférer des logiciels malveillants déguisés en application Zoom légitime‘ prévient l’équipe de Cyble dans le rapport.

Voir aussi  ChromeOS : vulnérabilité critique découverte par Microsoft

Le téléchargement n’inclut pas seulement le véritable programme d’installation de Zoom

Si le visiteur essaie de télécharger le supposé client Zoom sur l’un des sites Web, il y a une redirection vers l’URL GitHub « https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip‘, qui fournit le logiciel malveillant dans une archive ZIP. Ce package comprend également deux fichiers exécutables.

La « Décodeur.exe” est un binaire .NET qui injecte le code voleur malveillant dans le moteur de construction Microsoft (MSBuild.exe), que le système utilise pour créer des applications. Le deuxième dossier »ZOOMIN~1.EXE » lance le programme d’installation légitime de Zoom, afin que l’utilisateur ne devienne pas suspect.

« Nous avons constaté que les tactiques, techniques et procédures (TTP) de ce logiciel malveillant chevauchent celles de Vidar Stealer » écrivent les chercheurs. Ils attribuent parfois cela au fait que ce logiciel malveillant est également capable de masquer l’adresse IP de son serveur de commande et de contrôle (C&C). Mais aussi « les autres techniques d’infection semblent similaires.Les chercheurs avaient déjà fait de nombreux reportages sur le Vidar Stealer il y a un an.

Les utilisateurs de Zoom doivent se protéger

À la suite de la pandémie de COVID-19, le logiciel de visioconférence Zoom a énormément gagné en popularité. Et même aujourd’hui, l’entreprise continue de croître rapidement. Au deuxième trimestre de cette année, Zoom a signalé 204 100 entreprises clientes, soit une augmentation de 18 % d’une année sur l’autre. Et les revenus ont également augmenté de 8 % pour atteindre près de 1,1 milliard de dollars. En conséquence, la base d’utilisateurs désormais très large de l’entreprise en fait une cible attrayante pour la cybercriminalité.

Voir aussi  DropKiwifarms : l'utilisateur de Kiwi Farms inculpé

Dans leur rapport, les chercheurs en sécurité de Cyble recommandent un certain nombre de mesures que les utilisateurs peuvent utiliser pour se protéger des attaques. Il s’agit notamment d’éviter les logiciels piratés et les prétendus « outils de piratage“. L’utilisation de mots de passe sécurisés et d’une authentification multifacteur dans la mesure du possible est recommandée, tout comme l’installation automatique des mises à jour logicielles sur tous les appareils. Et les utilisateurs soucieux de la sécurité doivent également éviter de cliquer sur des liens (zoom) ou des pièces jointes provenant de sources non fiables.