Kryptobedragare använder falsk Zoom malware för att stjäla pengar

En ny krypto-malware riktar sig till användare av den molnbaserade videokonferensplattformen Zoom. Skadlig programvara omdirigerar användare till en skadlig webbplats för att stjäla deras kryptotillgångar.

Upptäckt av cybersäkerhetsingenjören "NFT_Dreww" den 22 juli, efterliknar den skadliga webbplatsen den ursprungliga Zoom-videosamtalslänken.

Börjar med social ingenjörskonst

Attacken börjar till en början med att bedragaren närmar sig offret och försöker lura dem att gå med i ett videosamtal. NFT_Dreww säger att vanliga taktiker innebär att angriparen erbjuder investeringsmöjligheter för änglar eller ber offret att gå med som gäst på X utrymmen.

Bedragarnas X-profiler är designade för att få dem att se ut som genomsnittliga kryptomarknadsdeltagare. För att se legitima ut pryder de oftaNFT-profilbilder och påstår sig vara relaterade till olika projekt.

Bedrägeriet fungerar genom att skapa falska Zoom-URL:s som *.us50web[.]us, som liknar legitima sådana som usXXweb.zoom[.]us. De inkluderar riktiga mötes-ID och lösenord i de falska webbadresserna för att få dem att framstå som autentiska.

NFT_Dreww betonade att "-" i URL:en är en del av toppdomänen, inte en underdomän, vilket vilseleder många användare.

Skillnaden mellan original Zoom-domän och skadlig domän. Källa: NFT_Dreww on X

Om en användare går med på att gå med, insisterar angriparna på att endast använda Zoom, och hävdar att deras team redan har jour.

Hur det fungerar

När länken har klickats omdirigeras användaren till en skadlig men identiskt utseende Zoom-sida med en laddningsskärm som ser fast.

Där utlöses en nedladdning för en fil som kallas "ZoomInstallerFull.exe", och användaren uppmanas att installera filen. Installationsprocessen ser äkta ut, även med en sida med villkor och villkor.

När den är installerad skickas användaren tillbaka till den skadliga laddningsskärmen, som sedan omdirigerar användare till en legitim Zoom-URL. Under tiden har skadlig programvara redan installerats på offrets system.

Inledningsvis lägger den skadliga programvaran sig till "Windows Defender-undantagslistan", vilket förhindrar säkerhetsprogramvaran från att blockera den. Därefter extraherar den användarinformation från systemet. Hela processen exekveras medan användaren är fast vid den falska Zoom-laddningssidan.

Enligt säkerhetsexperten har bluffen redan dränerat pengar till ett värde av över 300 000 dollar från flera användare. Han uppmanade användare att vara försiktiga när de klickar på länkar som tas emot på sociala medier och undvika att ladda ner någon programvara.

Bedrägerier med social ingenjörskonst blir mer sofistikerade när kryptosektorn fortsätter att utvecklas. Den 2 juli hackade bedragare Ethereum Foundations officiella e-postadress och skickade ut nätfiske-e-postmeddelanden till mer än 35 000 användare.

Bedrägerier av det här slaget har resulterat i över 300 miljoner dollar i kryptovalutatillgångar stulna från EVM-kedjor bara under första halvåret 2024.