Хакерите користат модифицирана програма за инсталирање Zoom за да ги измамат луѓето да инсталираат малициозен софтвер IcedID на нивните системи, предупредија истражувачите од Cyble Research & Intelligence Labs.
IcedID (BokBot) е банкарски тројанец кој може да ги пресретне сите информации на жртвата поврзани со електронското банкарство. Покрај тоа, IcedID делува и како „loader“, што му овозможува да зарази веќе заразен систем со друг малициозен софтвер или да преземе дополнителни модули.
Zoom стана една од најкористените медиуми за дистрибуција на малициозен софтвер по неговиот бум за време на пандемијата што принуди многумина да работат од далечина, зголемувајќи ја потребата за алатки за виртуелна комуникација.
Целта на хакерите кои стојат зад оваа кампања е да ги измамат луѓето да го отворат линкот и да преземат изменета верзија на програмата за инсталирање Zoom.
„Напаѓачот зад оваа кампања користеше многу убедлива страница за фишинг, која се чинеше дека е легитимна веб-страница на Zoom, за да ги измами корисниците да го преземат малверот IcedID, кој врши малициозни активности“, велат истражувачите од Cyble Research & Intelligence Labs.
По активирањето на фајлот ZoomInstallerFull.exe, малициозниот софтвер ги испушта ikm.msi и maker.dll во папката %temp%”.
maker.dll е одговорен за извршување на различни малициозни активности и вчитување на малверот IcedID, додека ikm. msi е легитимен фајл за инсталација на Zoom.
Откако ќе се инсталира малициозниот софтвер, тој се поврзува со серверите за команда и контрола, дозволувајќи им на напаѓачите да го заразат истиот систем со други видови на малициозен софтвер.
Користењето на фишинг како метод на дистрибуција е ново за IcedID, бидејќи IcedID обично се шири преку спам-мејлови со прикачени Office фајлови.