I ricercatori di Cyble Research & Intelligence Labs (CRIL) hanno recentemente identificato una campagna di phishing mirata agli utenti della popolare piattaforma di videoconferenza e riunioni online Zoom per fornire il malware IcedID.
IcedID, noto anche come BokBot, è un trojan bancario che consente agli aggressori di rubare le credenziali bancarie delle vittime. Questo malware prende di mira principalmente le aziende e può essere utilizzato per rubare informazioni di pagamento.
Di solito, IcedID si diffonde tramite e-mail di spam con allegati documenti di Office dannosi. Tuttavia, nella campagna scoperta da Cyble, gli aggressori hanno utilizzato un sito web di phishing, imitando il legittimo sito web di Zoom, per fornire il payload IcedID (metodo non tipico di distribuzione per questo malware).
“Gli assistenti tecnici dietro questa campagna hanno utilizzato una pagina di phishing altamente convincente che sembrava un sito web Zoom legittimo per indurre gli utenti a scaricare il malware IcedID, che svolge attività dannose”, si legge nell’analisi pubblicata da Cyble.
La pagina di destinazione contiene un pulsante per il download. Una volta che l’utente fa clic sul pulsante, il sito fornisce un file di installazione di Zoom dall’URL hxxps[:]//explorezoom[.]com/products/app/ZoomInstallerFull[.]exe: il file è una versione camuffata del malware IcedID.
Dopo aver eseguito il file “ZoomInstallerFull.exe”, il malware rilascia due file binari ikm.msi nella cartella %temp%: ikm.msi e maker.dll. Il “maker.dll” è un file DDL dannoso utilizzato per eseguire varie attività dannose, mentre “ikm.msi” è un programma di installazione legittimo che installa l’applicazione Zoom sul computer dell’utente e caricare il malware IcedID.
Dopo che i file binari sono stati eliminati, “ZoomInstallerFull.exe” esegue “maker.dll” utilizzando rundll32.exe con il parametro “init”. Per evitare sospetti, esegue anche il programma di installazione “ikm.msi”, che installa l’applicazione Zoom nella directory %programfiles%. Questo aiuta gli assistenti tecnici a nascondere le loro vere intenzioni e indurre gli utenti a pensare che stiano semplicemente installando una versione legittima di Zoom.
Una volta installato, il malware IcedID tenta di connettere il C&C. Se il malware riesce a connettersi correttamente al server C2, può rilasciare un file malware aggiuntivo nella directory %programdata%.
“IcedID è un malware altamente avanzato e di lunga durata che ha colpito gli utenti di tutto il mondo. È stato spesso distribuito come payload successivo da varie minacce ben note come Emotet, TrickBot e Hancitor”.
“L’autore della minaccia ha utilizzato un sito di phishing in questa campagna specifica per fornire il payload IcedID. Gli attori delle minacce adattano costantemente le loro tecniche per eludere il rilevamento da parte delle misure di sicurezza informatica. Cyble Research & Intelligence Labs monitora continuamente l’attività di IcedID e altri malware e manterrà aggiornati i nostri lettori”, concludono gli esperti.
https://blog.cyble.com/2023/01/05/zoom-users-at-risk-in-latest-malware-campaign/