Crypto-oplichters gebruiken valse Zoom-malware om geld te stelen

Een nieuwe crypto-malware richt zich op gebruikers van het cloudgebaseerde videoconferentieplatform Zoom. De malware leidt gebruikers door naar een kwaadaardige website om hun crypto-activa te stelen.

De kwaadaardige website werd op 22 juli opgemerkt door cybersecurity-ingenieur “NFT_Dreww” en bootst nauwgezet de originele Zoom-videogespreklink na.

Begint met social engineering

De aanval begint aanvankelijk met het feit dat de oplichter het slachtoffer benadert en hem probeert te misleiden om deel te nemen aan een videogesprek. NFT_Dreww zegt dat de gebruikelijke tactieken inhouden dat de aanvaller engelinvesteringsmogelijkheden aanbiedt of het slachtoffer vraagt om als gast mee te doen op X-vakken.

De X-profielen van de oplichters zijn ontworpen om ze op gemiddelde cryptomarktdeelnemers te laten lijken. Om er legitiem uit te zien, sieren ze vaakNFT-profielfoto's en beweren ze verband te houden met verschillende projecten.

De zwendel werkt door het creëren van valse Zoom-URL's zoals *.us50web[.]us, die lijken op legitieme URL's zoals usXXweb.zoom[.]us. Ze bevatten echte vergaderings-ID's en wachtwoorden in de nep-URL's om ze authentiek te laten lijken.

NFT_Dreww benadrukte dat de "-" in de URL deel uitmaakt van het topniveaudomein en niet van een subdomein, wat veel gebruikers misleidt.

Verschil tussen origineel Zoom-domein en kwaadaardig domein. Bron: NFT_Dreww op X

Als een gebruiker ermee instemt om mee te doen, staan de aanvallers erop alleen Zoom te gebruiken, waarbij ze beweren dat hun team al oproepbaar is.

Hoe het werkt

Zodra op de link wordt geklikt, wordt de gebruiker doorgestuurd naar een kwaadaardige maar identiek uitziende Zoom-pagina met een laadscherm dat vast lijkt te zitten.

Daar wordt een download geactiveerd voor een bestand met de naam "ZoomInstallerFull.exe", en wordt de gebruiker gevraagd het bestand te installeren. Het installatieproces ziet er echt uit en toont zelfs een pagina met voorwaarden en bepalingen.

Na installatie wordt de gebruiker teruggestuurd naar het kwaadaardige laadscherm, dat gebruikers vervolgens doorstuurt naar een legitieme Zoom-URL. Ondertussen is de malware al op het systeem van het slachtoffer geïnstalleerd.

In eerste instantie voegt de malware zichzelf toe aan de ‘uitsluitingslijst van Windows Defender’, waardoor wordt voorkomen dat de beveiligingssoftware deze blokkeert. Vervolgens haalt het gebruikersinformatie uit het systeem. Het hele proces wordt uitgevoerd terwijl de gebruiker vastzit op de nep-Zoom-laadpagina.

Volgens de beveiligingsexpert heeft de zwendel al meer dan $300.000 aan geld van verschillende gebruikers weggenomen. Hij drong er bij gebruikers op aan voorzichtig te zijn bij het klikken op links op sociale media en het downloaden van software te vermijden.

Social engineering-zwendel wordt steeds geavanceerder naarmate de cryptosector zich blijft ontwikkelen. Op 2 juli hackten oplichters het officiële e-mailadres van de Ethereum Foundation en stuurden phishing-e-mails naar meer dan 35.000 gebruikers.

Dit soort oplichting heeft ertoe geleid dat alleen al in de eerste helft van 2024 voor meer dan $300 miljoen aan cryptocurrency-activa zijn gestolen uit EVM-ketens.