Zoom Kullanıcıları Dikkat: Zoom Uygulaması Olarak Gizlenmiş Yeni Kötü Amaçlı Yazılım Yayılıyor

Cyble Research and Intelligence Labs (CRIL) rutin tehdit avı egzersizleri yaparken, araştırmacıların dikkatini çeken çok sayıda sahte Zoom sitesinin oluşturulduğundan bahseden bir tweet'e rastladı.

Bu sitelerin kullanıcı arayüzlerinde çok fazla benzerlik var. Bu sitelerin amacı, bu siteyi kötü amaçlı yazılım yaymak için bir araç olarak kullanarak, Zoom'un meşru uygulaması olarak gizlenmiş kötü amaçlı yazılımlara virüs bulaştırmaktır.

Daha fazla araştırma yaptıktan sonra, siber güvenlik analistleri Vidar Stealer'ın bu sitelerde yayıldığını tespit etti. Vidar, aşağıdaki veriler de dahil olmak üzere kurbanlarından bilgi çalan kötü amaçlı bir programdır:

• Banka Bilgileri
• Kayıtlı Şifreler
• IP Adresleri
• Tarayıcı geçmişi
• Giriş kimlik bilgileri
• Kripto cüzdanları

Arkei hırsızı bu hırsıza bağlıdır, bu da her ikisinin de ilişkili olduğu anlamına gelir.

Sahte Zoom siteleri

Şu anda tehdit aktörleri tarafından aşağıdakiler de dahil olmak üzere kullanılan bir dizi sahte Zoom sitesi vardır:

• zoom-download(.)host
• zoom-download(.)space
• zoom-download(.)fun
• zoomus(.)host
• zoomus(.)tech
• zoomus(.)website

Kötü amaçlı bir uygulama, bu GitHub URL'sine gidilerek sahte sitelerin arkayüzlerinden (backend) indirilir:

• https(:)//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip

Hedef makinenin geçici klasöründe, kötü amaçlı uygulama aşağıdaki iki ikili dosyayı bırakır:

• ZOOMIN~1.EXE
• Decoder.exe

Enfeksiyon Zinciri

Decoder.exe adlı kötü amaçlı bir .NET ikilisi.exe MSBuild'e enjekte edilir ve makineden bilgi çalmak için bilgisayar korsanlarının kodunu yürütür.

MSBuild (Microsoft Yapı Altyapısı), .NET Framework kullanılarak oluşturulan uygulamalar oluşturmak için kullanılan bir platformdur. ZOOMIN~1.EXE dosyası temiz bir dosyadır ve yalnızca orijinal Zoom yükleyicisini çalıştırır.

Kötü amaçlı yazılımın MSBuild.exe eklenmesi, orada barındırılan DLL'lerle ve yapılandırma bilgileriyle ilişkili IP adreslerini almasına olanak tanır.

Bundan sonra, kötü amaçlı yazılım yapılandırma verilerini komut ve kontrol sunucularından ve DLL'lerden alır. Kendisini kurbanın cihazından kaldırmak için, kötü amaçlı yazılım aşağıdaki komutları başarıyla yürüttükten sonra aşağıdaki komut satırı argümanlarını kullanır:

• “C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
• “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe” & del C:\PrograData\*.dll & exit

Öneriler

Aşağıda güvenlik uzmanları tarafından sağlanan önerilerden bahsettik:

• Korsan yazılım indirmekten kaçınmak istiyorsanız warez/torrent web sitelerinin kullanımından kaçının.
• Parolanızın güçlü olduğundan emin olun.
• Mümkün olduğunda, çok faktörlü kimlik doğrulamasının uygulandığından emin olun.  
• Cep telefonunuzun, bilgisayarınızın ve internete bağlı diğer aygıtlarınızın otomatik olarak güncellenecek şekilde yapılandırıldığından emin olun. 
• İnternete bağladığınız tüm cihazlarda saygın bir anti-virüs programı kullanmak önemlidir.
• Güvenilmeyen bağlantıları veya e-posta eklerini, önce bağlantıların ve eklerin orijinal olduğunu doğrulamadan açmamanız önerilir.
• Çalışanlarınızı, kimlik avı e-postaları ve güvenilmeyen URL'ler gibi bilgilerin güvenli bir şekilde işlenmesi konusunda eğitin.
• Kötü amaçlı yazılımların yayılmasını önlemek için, bunu yapmak için kullanılabilecek URL'leri engelleyin.
• Kötü amaçlı yazılım tarafından veri sızıntısını önlemek için, işaretçi ağ düzeyinde izleyin.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.