Pesquisadores cibernéticos alertam sobre um aplicativo Zoom modificado que foi usado por agentes de ameaças em uma campanha de phishing para entregar o Malware IcedID.

Pesquisadores da Cyble descobriram recentemente uma campanha de phishing visando usuários da popular plataforma de videoconferência e reunião online Zoom para entregar o malware IcedID .

O trojan bancário IcedID apareceu pela primeira vez no cenário de ameaças em 2017, possui recursos semelhantes a outras ameaças financeiras como Gozi , Zeus e Dridex . Os especialistas da IBM X-Force que o analisaram pela primeira vez notaram que a ameaça não pega emprestado o código de outro malware bancário, mas o código malicioso implementa recursos comparáveis, incluindo o lançamento de ataques man-in-the-browser e a interceptação e roubo de informações financeiras das vítimas .

O malware IcedID geralmente espalha campanhas de malvertising usando documentos do Office armados. No entanto, na campanha descoberta pela Cyble, os agentes de ameaças usaram um site de phishing, imitando o site legítimo do Zoom, para entregar o malware IcedID.

“Os TAs por trás dessa campanha usaram uma página de phishing altamente convincente que parecia um site legítimo do Zoom para induzir os usuários a baixar o malware IcedID, que realiza atividades maliciosas.” lê a análise publicada pela Cyble.

A página de destino no site continha um botão de download. Ao clicar no botão, o site entregava um arquivo do instalador do Zoom a partir da URL: hxxps[:]//explorezoom[.]com/products/app/ZoomInstallerFull[.]exe . A análise realizada pelos especialistas revelou que o arquivo era uma versão do malware IcedID.

Ao executar o executável “ZoomInstallerFull.exe”, o malware insere os binários ikm.msi, maker.dll na pasta %temp%.

O “maker.dll” é uma biblioteca maliciosa usada para executar várias atividades maliciosas e carregar o malware IcedID, enquanto “ikm.msi” é um instalador legítimo do aplicativo Zoom.

Uma vez instalado, o malware IcedID tenta conectar o C2. Se o malware conseguir se conectar com sucesso ao servidor C2, ele poderá descartar cargas maliciosas adicionais no diretório %programdata%.

“IcedID é um malware altamente avançado e duradouro que afetou usuários em todo o mundo.” conclui o relatório. “O agente da ameaça utilizou um site de phishing nesta campanha específica para fornecer a carga útil do IcedID. Os agentes de ameaças estão constantemente adaptando suas técnicas para evitar a detecção por medidas de segurança cibernética.”