Opasni bankarski trojanac na lažnom veb sajtu aplikacije Zoom

Opisi virusa, 18.01.2023, 12:00 PM

Hakeri koriste modifikovani program za instalaciju Zooma da bi prevarili ljude da instaliraju IcedID malver na svojim sistemima, upozorili su istraživači iz Cyble Research & Intelligence Labsa.

IcedID (BokBot) je bankarski trojanac koji može da presretne sve informacije žrtve koje se odnose na elektronsko bankarstvo. Pored toga, IcedID se ponaša i kao "loader", što mu omogućava da inficira već zaraženi sistem drugim malverima ili da preuzme dodatne module.

Zoom je postao jedno od najkorišćenijih sredstava za distribuciju malvera nakon svog meteorskog uspona tokom pandemije koja je uslovila mnoge na rad na daljinu, zbog čega se povećala potreba za virtuelnim komunikacijskim alatima.

Cilj hakera koji stoje iza ove kampanje je da prevare ljude da otvore link i preuzmu modifikovanu verziju programa za instalaciju Zooma.

„Napadač koji stoji iza ove kampanje koristio je veoma ubedljivu fišing stranicu, koja je izgledala kao legitimni veb sajt Zooma, da prevari korisnike da preuzmu IcedID malver, koji vrši zlonamerne aktivnosti“, rekli su istraživači iz Cyble Research & Intelligence Labsa.

Posle pokretanja fajla “ZoomInstallerFull.exe”, malver ispušta ikm.msi i maker.dll u folder %temp%“. „maker.dll“ je odgovoran za obavljanje raznih zlonamernih aktivnosti i učitavanje IcedID malvera, dok je „ikm.msi“ legitimni instalacioni fajl aplikacije Zoom.

Kada je malver instaliran, povezuje se sa komandnim i kontrolnim serverima, omogućavajući napadačima da inficiraju isti sistem i drugim vrstama malvera.

Korišćenje fišinga kao metode distribucije je novina za IcedID, jer se IcedID obično širi putem spam emailova sa Office fajlovima u prilogu.