Specjaliści Malwarebytes odkryli fałszywe strony Zoom, które rozprzestrzeniają złośliwe oprogramowanie do skrytej inwigilacji. Dowiedz się, jak się chronić przed tymi atakami phishingowymi.
© RusPhotoBank
Specjaliści ds. cyberbezpieczeństwa z firmy Malwarebytes odkryli nową kampanię, w której przestępcy tworzą fałszywe strony podszywające się pod oficjalną usługę wideokonferencji Zoom. Te oszukańcze witryny rozpowszechniają złośliwe oprogramowanie przeznaczone do skrytej inwigilacji użytkowników.
Jak informują eksperci, oszuści promują te podrobione strony poprzez płatne reklamy i optymalizację pod kątem wyszukiwarek. Gdy użytkownicy próbują dołączyć do spotkania online przez interfejs internetowy, strona symuluje problemy techniczne, takie jak przerwy w dźwięku czy opóźnienia wideo. Następnie odwiedzający są zachęcani do pobrania „instalatora Zooma”, który rzekomo ma rozwiązać problem. W pośpiechu wiele osób zgadza się na pobranie pliku.
Analiza wykazała, że pakiet instalacyjny zawiera legalne oprogramowanie korporacyjne do zdalnego sterowania o nazwie Teramind. Takie narzędzia często omijają wykrycie przez programy antywirusowe, ponieważ są oficjalnie używane w środowiskach biznesowych – właśnie to wykorzystują atakujący, osadzając program w swojej dystrybucji phishingowej.
Po zainstalowaniu Teramind może działać w trybie ukrytym, nie pojawiając się w systemie. Program może rejestrować naciśnięcia klawiszy, regularnie robić zrzuty ekranu, monitorować odwiedzane strony internetowe, uruchomione aplikacje, zawartość schowka, a także aktywność plików i poczty elektronicznej. Tego rodzaju inwigilacja jest trudna do wykrycia bez specjalistycznych narzędzi bezpieczeństwa.