Krypto-svindlere bruger falsk Zoom-malware til at stjæle penge

En ny krypto-malware er rettet mod brugere af den cloud-baserede videokonferenceplatform Zoom. Malwaren omdirigerer brugere til et ondsindet websted for at stjæle deres kryptoaktiver.

Spot af cybersikkerhedsingeniør "NFT_Dreww" den 22. juli, efterligner det ondsindede websted tæt det originale Zoom-videoopkaldslink.

Begynder med social engineering

Angrebet starter i første omgang med, at svindleren nærmer sig offeret og forsøger at narre dem til at deltage i et videoopkald. NFT_Dreww siger, at almindelige taktikker involverer, at angriberen tilbyder engleinvesteringsmuligheder eller beder offeret om at deltage som gæst på X spaces.

Svindlernes X-profiler er designet til at få dem til at ligne gennemsnitlige kryptomarkedsdeltagere. For at se legitime ud, pryder de ofteNFT-profilbilleder og hævder at være relateret til forskellige projekter.

Fidusen fungerer ved at skabe falske Zoom-URL'er som *.us50web[.]us, der ligner legitime som usXXweb.zoom[.]us. De inkluderer rigtige møde-id'er og adgangskoder i de falske URL'er for at få dem til at fremstå autentiske.

NFT_Dreww understregede, at "-" i URL'en er en del af topdomænet, ikke et underdomæne, hvilket vildleder mange brugere.

Forskellen mellem originalt Zoom-domæne og ondsindet domæne. Kilde: NFT_Dreww på X

Hvis en bruger accepterer at deltage, insisterer angriberne på kun at bruge Zoom, idet de hævder, at deres team allerede er på vagt.

Hvordan det virker

Når linket er klikket, bliver brugeren omdirigeret til en ondsindet, men identisk udseende Zoom-side med en indlæsningsskærm, der ser fast.

Der udløses en download for en fil kaldet "ZoomInstallerFull.exe", og brugeren bliver bedt om at installere filen. Installationsprocessen ser ægte ud, og den viser endda en side med vilkår og betingelser.

Når den er installeret, sendes brugeren tilbage til den ondsindede indlæsningsskærm, som derefter omdirigerer brugerne til en legitim Zoom URL. I mellemtiden er malwaren allerede blevet installeret på ofrets system.

Til at begynde med tilføjer malwaren sig selv til "Windows Defender-ekskluderingslisten", som forhindrer sikkerhedssoftwaren i at blokere den. Efterfølgende udtrækker den brugeroplysninger fra systemet. Hele processen udføres, mens brugeren sidder fast på den falske Zoom-indlæsningsside.

Ifølge sikkerhedseksperten har fidusen allerede drænet over 300.000 dollars fra flere brugere. Han opfordrede brugerne til at være forsigtige, når de klikker på links modtaget på sociale medier og undgå at downloade software.

Social engineering-svindel bliver mere sofistikeret, efterhånden som kryptosektoren fortsætter med at udvikle sig. Den 2. juli hackede svindlere Ethereum Foundations officielle e-mailadresse og sendte phishing-e-mails ud til mere end 35.000 brugere.

Svindel af denne art har resulteret i over $300 millioner værd af cryptocurrency-aktiver stjålet fra EVM-kæder alene i første halvdel af 2024.