Über sechs gefälschte Zoom-Webseiten verbreiten Hacker eine Malware, durch die sie zahlreiche brisante Daten ihrer Opfer abgreifen.
Sicherheitsforscher haben sechs gefälschte Zoom-Webseiten entdeckt, über die Hacker eine Malware verbreiten, durch die sie zahlreiche Daten ihrer Opfer abgreifen. Darunter befinden sich mitunter auch gespeicherte Passwörter und Bankverbindungen. Anwender sollten Maßnahmen ergreifen, um sich vor derartigen Angriffen zu schützen.
Gefälschte Webseiten wirken authentisch, verteilen aber Malware
Mitarbeiter des Cybersecurity-Unternehmens Cyble machen auf gefälschte Zoom-Webseiten aufmerksam. Besucher der sechs identifizierten Seiten laden darüber eine Malware herunter, die dem Vidar Stealer sehr ähnlich ist.
Dabei handelt es sich um einen Info-Stealer, der zahlreiche Informationen von den Systemen seiner Opfer einsammelt. Darunter Bankverbindungen, gespeicherte Passwörter, IP-Adressen, Browserverläufe, Anmeldeinformationen sowie Kryptowallets. Je nachdem, wie geschickt der Entwickler der Malware war, könnten diese Daten sogar bei mehr als nur einem Hacker landen.
Bei den betroffenen Domains, die die Sicherheitsforscher durch einen Tweet entdeckten, handelt es sich um die folgenden:
- zoom-download[.]host
- zoom-download[.]space
- zoom-download[.]fun
- zoomus[.]host
- zoomus[.]tech
- zoomus[.]website
„Alle diese Seiten haben die gleiche Benutzeroberfläche. Diese Seiten werden mit der ausdrücklichen Absicht erstellt, Malware zu verbreiten, die als die legitime Zoom-Anwendung getarnt ist„, warnt das Cyble-Team in dem Bericht.
Download enthält nicht nur das echte Zoom-Installationsprogramm
Versucht der Besucher auf einer der Webseiten den vermeintlichen Zoom-Client herunterzuladen, so erfolgt ein Redirect auf die GitHub-URL „https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip„, die die Malware innerhalb eines ZIP-Archivs bereitstellt. Dieses Paket beinhaltet ferner zwei ausführbare Dateien.
Die „Decoder.exe“ ist eine .NET-Binärdatei, die den bösartigen Stealer-Code in die Microsoft Build Engine (MSBuild.exe) injiziert, die das System zum Erstellen von Anwendungen einsetzt. Die zweite Datei „ZOOMIN~1.EXE“ startet hingegen das legitime Zoom-Installationsprogramm, sodass der Anwender keinen Verdacht schöpft.
„Wir haben festgestellt, dass sich die Taktiken, Techniken und Verfahren (TTPs) dieser Malware mit denen von Vidar Stealer überschneiden„, schreiben die Forscher. Dies führen sie mitunter darauf zurück, dass diese Malware ebenso in der Lage ist, die IP-Adresse ihres Command-and-Control-Servers (C&C) zu verbergen. Doch auch „die übrigen Infektionstechniken scheinen ähnlich zu sein.“ Über den Vidar Stealer hatten die Forscher bereits vor einem Jahr ausführlich berichtet.
Zoom-Anwender sollten sich schützen
Infolge der COVID-19-Pandemie hat die Videokonferenzsoftware Zoom enorm an Beliebtheit gewonnen. Und auch heute wächst das Unternehmen immer noch rasant. Im zweiten Quartal dieses Jahres meldete Zoom 204.100 Unternehmenskunden – ein Zuwachs von 18% im Vergleich zum Vorjahr. Und auch der Umsatz stieg um 8% auf fast 1,1 Milliarden US-Dollar. Die mittlerweile sehr große Nutzerbasis des Unternehmens macht dieses infolge zu einem attraktiven Ziel für Cyberkriminalität.
Die Cyble Sicherheitsforscher empfehlen in ihrem Bericht einige Maßnahmen, durch die sich Anwender vor Angriffen schützen können. Darunter beispielsweise die Vermeidung raubkopierter Software sowie vermeintlicher „Hack-Tools„. Der Einsatz sicherer Passwörter sowie Multi-Faktor-Authentifizierung, wo immer es möglich ist, ist ebenso empfohlen wie die automatische Installation von Software-Updates auf sämtlichen Geräten. Und den Klick auf (Zoom-)Links oder Dateianhänge aus nicht vertrauenswürdigen Quellen sollten sicherheitsbewusste Benutzer sich indes auch besser sparen.