Деякі зловмисники використовують служби онлайн-конференцій як приманку для зловмисного програмного забезпечення. Дослідники Zscaler знайшли підроблені веб-сайти Skype, Zoom і Google Meet, які використовувалися зловмисниками для поширення троянів віддаленого доступу (скорочено RAT).
Команда Zscaler ThreatLabZ попереджає про підроблені сайти онлайн-зустрічей, які розповсюджують різні сімейства шкідливих програм. Вже на початку грудня 2023 року дослідники виявили загрозу, яка створює підроблені веб-сайти Skype, Google Meet і Zoom для поширення шкідливого програмного забезпечення з метою поширення троянів віддаленого доступу, таких як SpyNote RAT, для користувачів Android і NjRAT і DCRat для користувачів Windows. Ці сторінки постійно з’являються в нових версіях.
🔎 Ланцюг атак і процес виконання для кампаній Android і Windows (Зображення: Zscaler).
Оманливі справжні веб-адреси як пастка
Зловмисник використовував спільний веб-хостинг і розміщував усі підроблені веб-сайти для онлайн-зустрічей на одній IP-адресі. URL-адреси підроблених веб-сайтів були дуже схожі на справжні, тому підробку неможливо розпізнати з першого погляду. Коли користувач відвідує один із підроблених веб-сайтів, натискання кнопки Android розпочне завантаження шкідливого файлу APK. Однак натискання відповідної кнопки Windows запускає завантаження BAT-файлу. Під час виконання файл BAT забезпечує додаткові дії, які в кінцевому підсумку призводять до завантаження корисного навантаження RAT.
Фальшиві сайти зі Skype
Під час свого розслідування дослідники безпеки виявили, що перший фальшивий і зараз заблокований веб-сайт «join-skype[.]info» був створений на початку грудня, щоб обманом змусити користувачів завантажити підроблену програму Skype.
Кнопка Windows вказувала на файл під назвою «Skype8.exe», а кнопка Google Play вказувала на «Skype.apk». Кнопка Apple App Store перенаправляла лише на оригінальну сторінку Skype для iOS, що вказувало на те, що загроза не була націлена на користувачів iOS зі своїм шкідливим програмним забезпеченням.
Неправильні сторінки зустрічі для Google Meet і Zoom
Наприкінці грудня зловмисник створив ще один фейковий сайт, який імітував Google Meet. Фальшива сторінка Google Meet була розміщена з видимим підшляхом «gry-ucdu-fhc». Його навмисно створено, щоб нагадувати посилання для приєднання до Google Meet. Експерти також знайшли підроблену Zoom-сторінку для Zoom наприкінці січня 2024 року. Їхня URL-адреса містила підшлях, дуже схожий на ідентифікатор зустрічі, створений клієнтом Zoom.
RAT – Трояни віддаленого доступу були готові
Зловмисники цієї кампанії націлені на компанії та використовують відомі та популярні онлайн-сервіси для зустрічей як приманку для поширення RATs для Android і Windows. Ці трояни віддаленого доступу здатні викрадати конфіденційну інформацію, реєструвати натискання клавіш або перекачувати файли.
Ці висновки підкреслюють необхідність надійних заходів безпеки для захисту від нових загроз, а також важливість регулярних оновлень і виправлень безпеки. Zscaler Cloud Sandbox розпізнає зразки за їхньою поведінкою та посилається на певні методи MITER ATT&ACK, які запускаються під час аналізу.
Більше на ZScaler.com
Про Zscaler Zscaler прискорює цифрову трансформацію, щоб клієнти могли стати більш гнучкими, ефективними, стійкими та безпечними. Zscaler Zero Trust Exchange захищає тисячі клієнтів від кібератак і втрати даних, безпечно підключаючи людей, пристрої та програми будь-де. Zero Trust Exchange на базі SSE є найбільшою у світі вбудованою хмарною платформою безпеки, розподіленою в понад 150 центрах обробки даних по всьому світу.