Хакерите користат модифициран инсталатер за Zoom за да ги измамат луѓето да инсталираат малициозен софтвер IcedID на нивните системи, предупредија истражувачите од Cyble Research & Intelligence Labs.
IcedID (BokBot) е банкарски тројанец кој може да ги пресретне сите информации на жртвата поврзани со електронското банкарство. Покрај тоа, IcedID делува и како „loader“, што му овозможува да зарази веќе заразен систем со друг малициозен софтвер или да преземе дополнителни модули.
Zoom стана едно од најкористените средства за дистрибуција на малициозен софтвер по неговиот метеорски пораст за време на пандемијата што принуди многумина да работат од далечина, што ја зголеми потребата за алатки за виртуелна комуникација.
Целта на хакерите кои стојат зад оваа кампања е да ги измамат луѓето да ја отворат врската и да преземат изменета верзија на инсталаторот за Zoom.
„Напаѓачот зад оваа кампања користеше многу убедлива страница за фишинг, која се чинеше дека е легитимна веб-страница на Zoom, за да ги измами корисниците да го преземат малициозниот софтвер IcedID, кој врши малициозни активности“, велат истражувачите од Cyble Research & Intelligence Labs.
По извршувањето на датотеката „ZoomInstallerFull.exe“, малициозниот софтвер ги испушта ikm.msi и maker.dll во папката %temp%”. „maker.dll” е одговорен за извршување на различни малициозни активности и вчитување на малициозен софтвер IcedID, додека „ikm.msi ” е легитимна датотека за инсталација на Zoom.
Откако ќе се инсталира малициозниот софтвер, тој се поврзува со серверите за команда и контрола, дозволувајќи им на напаѓачите да го заразат истиот систем со други видови на малициозен софтвер.
Користењето на фишинг како метод на дистрибуција е ново за IcedID, бидејќи IcedID обично се шири преку спам-пораки со прикачени датотеки на Office.