Badacze cyberbezpieczeństwa zidentyfikowali nowe zagrożenie: fałszywy instalator Zooma, który podszywa się pod oficjalną stronę, by nakłonić użytkowników do pobrania złośliwego oprogramowania.
Zespół DFIR ostrzega, iż użytkownicy Windowsa mogą paść ofiarą ransomware BlackSuit, znanego z ataków na szkoły, sektor opieki zdrowotnej i inne usługi.
Adres wykorzystywanej strony to zoommanager[.]com – nie jest to oficjalna strona Zoom. Po kliknięciu pobierany jest złośliwy instalator, który wyłącza Windows Defender i ukrywa swoje pliki.
Malware łączy się z internetowym źródłem, aby pozyskać adres serwera kolejnego etapu i pobiera dwa pliki – jeden z prawdziwym instalatorem Zooma, drugi złośliwy.
Po uruchomieniu kod zostaje wstrzyknięty do procesu MSBuild.exe i przez osiem dni pozostaje nieaktywny. Następnie aktywuje kolejną fazę: zbiera dane systemowe i uruchamia narzędzia wykorzystywane w cyberatakach. Instalowane jest również oprogramowanie umożliwiające zdalne sterowanie komputerem.
Malware pakuje dane i przesyła je z zainfekowanego urządzenia. Ostatecznie uruchamiany jest ransomware BlackSuit, który szyfruje pliki i pozostawia notatkę z żądaniem okupu.
Według analiz, kampania BlackSuit rozpoczęła się w 2023 roku. W 2024 roku grupa przypisała sobie ataki m.in. na szkołę w Karolinie Południowej, dostawcę systemu dla salonów samochodowych oraz organizacje i instytucje w USA.
W niektórych przypadkach ofiary zostały poinformowane o wycieku danych osobowych, takich jak imiona, nazwiska i identyfikatory. Lista ofiar obejmuje zarówno instytucje publiczne, jak i prywatne.
Źródło: https://cybernews.com/security/fake-zoom-installer-deploys-ransomware/
