Lượng lớn người dùng vẫn sử dụng Zoom cho mục địch họp trực tuyến, đây cũng chính là cơ hội cho tội phạm mạng thực hiện các hành vi độc hại.
Các ứng dụng họp online như Zoom vẫn còn rất phổ biến ở thời điểm hiện tại, khi mà một số công ty, lớp họp vẫn triển khai mô hình Work From Home (WFH). Tuy nhiên, đây cũng chính là cơ hội cho tội phạm mạng thực hiện các hành vi độc hại.
Nhiều tin tặc đã tạo ra các trang web giả mạo trên mạng để phát tán nhiều loại virus và phần mềm độc hại. Điều này được phát hiện bởi các nhà nghiên cứu từ Cyble, đội ngũ đã phát hiện một chiến dịch lừa đảo với quy mô rộng lớn và mục tiêu là người dùng Zoom.
Cyble là một công ty khởi nghiệp về trí tuệ mạng toàn cầu, công ty đã phát hiện sáu trang web giả mạo lưu trữ với nhiều phương thức khác nhau, cụ thể là phần mềm độc hại cố gắng ăn cắp thông tin và nhiều mã độc hại khác.
Một trong những nhà nghiên cứu tìm thấy là mã độc Vidar Stealer, có khả năng đánh cắp thông tin ngân hàng, mật khẩu được lưu trữ, lịch sử trình duyệt , địa chỉ IP, chi tiết về ví tiền điện tử và các thông tin khác.
Xem thêm: Hacker 17 tuổi đã xâm nhập và leak GTA 6, vừa bị cảnh sát Anh bắt giữ
Các nhà nghiên cứu của Cyble cho biết:
“Dựa trên những quan sát gần đây của chúng tôi, bọn tội phạm đang tích cực thực hiện một số chiến dịch để phát tán những mã độc theo dõi người dùng.
Nhật ký của kẻ trộm có thể cung cấp quyền truy cập vào các điểm cuối bị xâm phạm, được bán trên thị trường tội phạm mạng. Chúng tôi đã chứng kiến nhiều vụ vi phạm trong đó nhật ký của kẻ trộm đã cung cấp quyền truy cập sớm cần thiết vào mạng của nạn nhân."
Ra mắt TechRadar, các nhà nghiên cứu đã tìm thấy sáu trang web lừa đảo. Khi người dùng mở trang web, họ sẽ được dẫn đến URL GitHub cho biết họ có thể tải xuống ứng dụng nào.
Tuy nhiên, nếu khách truy cập bị phát hiện đang nhấp vào một ứng dụng giả mạo, họ sẽ nhận được hai tệp nhị phân trong thư mục tạm thời: ZOOMIN-1.EXE và Decoder.exe.
Ngoài ra, mã độc này sẽ gửi MSBuild.exe và truy xuất địa chỉ IP lưu trữ dữ liệu cấu hình và DLL.
Các mã độc này có Chiến thuật, Kỹ thuật và Quy trình (TTP) trùng lặp với Vidar Stealer. (Giống như Vidar Stealer) phần mềm độc hại này ẩn địa chỉ IP của C&C . Các nhà nghiên cứu Cyble giải thích rằng các kỹ thuật lây nhiễm có vẻ tương tự nhau.
Cuối cùng, theo nhà nghiên cứu, không có cách nào khác để tránh các mã độc này trừ khi người dùng xem xét việc tải ứng dụng Zoom từ đâu và cẩn thận khi nhấp vào các link đáng ngờ.