Во время обычного поиска угроз Cyble Research and Intelligence Labs (CRIL) наткнулась на твит, в котором исследователь упоминал о создании нескольких поддельных сайтов Zoom. Все эти сайты имеют одинаковый пользовательский интерфейс. Эти сайты созданы с явным намерением распространять вредоносное ПО, замаскированное под легитимное приложение Zoom.
В ходе дальнейшего расследования мы обнаружили, что эти сайты распространяют Vidar Stealer. Vidar - это вредоносная программа для кражи информации, которая похищает банковскую информацию жертвы, сохраненные пароли, IP-адреса, историю браузера, учетные данные для входа в систему и криптокошельки. Этот Stealer имеет ссылки на Stealer Arkei.
Indicators of Compromise
IPv4
- 116.202.179.139
- 193.106.191.223
- 79.124.78.206
Domains
- zoom-download.fun
- zoom-download.host
- zoom-download.space
- zoomus.host
- zoomus.tech
- zoomus.website
URLs
- https://github.com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip
- https://t.me/karacakahve
- https://ieji.de/@tiagoa96
MD5
- 19aff3d6ed110a9037aff507cac4077f
SHA1
- a8917dc3caf3485108485bf12c79de8f792e415e
- caa99a9682d20e657b58d9d508f6d4921d6b606b
SHA256
- 32fa5edf4da5eff4ca9313f3466df85da73a6e2498b2c88ad1e3403b3979e6f4
- f2efaa8e2d001d9c7872ab0a374480bec010aeaa9dbdb932cc058530ad125217