Crypto-oplichters gebruiken valse Zoom-malware om geld te stelen

Door:
Translated by:
Edited by:
op  Jul 23, 2024
Listen
3 minuten om te lezen
  • Oplichters gebruiken valse Zoom-URL's om gebruikers te misleiden.
  • De malware infecteert het systeem van de gebruiker automatisch.
  • Er is voor ruim 300.000 dollar aan geld gestolen.

Volg Invezz op TelegramTwitter en Google Nieuws om notificaties te ontvangen >

Een nieuwe crypto-malware richt zich op gebruikers van het cloudgebaseerde videoconferentieplatform Zoom. De malware leidt gebruikers door naar een kwaadaardige website om hun crypto-activa te stelen.

Bent u op zoek naar signalen & waarschuwingen van pro-handelaren? Meld u GRATIS aan bij Invezz Signals™. Duurt 2 minuten.

De kwaadaardige website werd op 22 juli opgemerkt door cybersecurity-ingenieur “NFT_Dreww” en bootst nauwgezet de originele Zoom-videogespreklink na.

Begint met social engineering

Copy link to section

De aanval begint aanvankelijk met het feit dat de oplichter het slachtoffer benadert en hem probeert te misleiden om deel te nemen aan een videogesprek. NFT_Dreww zegt dat de gebruikelijke tactieken inhouden dat de aanvaller engelinvesteringsmogelijkheden aanbiedt of het slachtoffer vraagt om als gast mee te doen op X-vakken.

De X-profielen van de oplichters zijn ontworpen om ze op gemiddelde cryptomarktdeelnemers te laten lijken. Om er legitiem uit te zien, sieren ze vaakNFT-profielfoto’s en beweren ze verband te houden met verschillende projecten.

De zwendel werkt door het creëren van valse Zoom-URL’s zoals *.us50web[.]us, die lijken op legitieme URL’s zoals usXXweb.zoom[.]us. Ze bevatten echte vergaderings-ID’s en wachtwoorden in de nep-URL’s om ze authentiek te laten lijken.

NFT_Dreww benadrukte dat de “-” in de URL deel uitmaakt van het topniveaudomein en niet van een subdomein, wat veel gebruikers misleidt.

Verschil tussen origineel Zoom-domein en kwaadaardig domein. Bron: NFT_Dreww op X

Als een gebruiker ermee instemt om mee te doen, staan de aanvallers erop alleen Zoom te gebruiken, waarbij ze beweren dat hun team al oproepbaar is.

Hoe het werkt

Copy link to section

Zodra op de link wordt geklikt, wordt de gebruiker doorgestuurd naar een kwaadaardige maar identiek uitziende Zoom-pagina met een laadscherm dat vast lijkt te zitten.

Daar wordt een download geactiveerd voor een bestand met de naam “ZoomInstallerFull.exe”, en wordt de gebruiker gevraagd het bestand te installeren. Het installatieproces ziet er echt uit en toont zelfs een pagina met voorwaarden en bepalingen.

Na installatie wordt de gebruiker teruggestuurd naar het kwaadaardige laadscherm, dat gebruikers vervolgens doorstuurt naar een legitieme Zoom-URL. Ondertussen is de malware al op het systeem van het slachtoffer geïnstalleerd.

In eerste instantie voegt de malware zichzelf toe aan de ‘uitsluitingslijst van Windows Defender’, waardoor wordt voorkomen dat de beveiligingssoftware deze blokkeert. Vervolgens haalt het gebruikersinformatie uit het systeem. Het hele proces wordt uitgevoerd terwijl de gebruiker vastzit op de nep-Zoom-laadpagina.

Volgens de beveiligingsexpert heeft de zwendel al meer dan $300.000 aan geld van verschillende gebruikers weggenomen. Hij drong er bij gebruikers op aan voorzichtig te zijn bij het klikken op links op sociale media en het downloaden van software te vermijden.

Social engineering-zwendel wordt steeds geavanceerder naarmate de cryptosector zich blijft ontwikkelen. Op 2 juli hackten oplichters het officiële e-mailadres van de Ethereum Foundation en stuurden phishing-e-mails naar meer dan 35.000 gebruikers.

Dit soort oplichting heeft ertoe geleid dat alleen al in de eerste helft van 2024 voor meer dan $300 miljoen aan cryptocurrency-activa zijn gestolen uit EVM-ketens.

Dit artikel is vertaald uit het Engels met behulp van AI-tools en vervolgens proefgelezen en bewerkt door een plaatselijke vertaler.