
Pesquisadores da Cyble descobriram recentemente uma campanha de phishing visando usuários da popular plataforma de videoconferência e reunião online Zoom para entregar o malware IcedID .
O trojan bancário IcedID apareceu pela primeira vez no cenário de ameaças em 2017, possui recursos semelhantes a outras ameaças financeiras como Gozi , Zeus e Dridex . Os especialistas da IBM X-Force que o analisaram pela primeira vez notaram que a ameaça não pega emprestado o código de outro malware bancário, mas o código malicioso implementa recursos comparáveis, incluindo o lançamento de ataques man-in-the-browser e a interceptação e roubo de informações financeiras das vítimas .
O malware IcedID geralmente espalha campanhas de malvertising usando documentos do Office armados. No entanto, na campanha descoberta pela Cyble, os agentes de ameaças usaram um site de phishing, imitando o site legítimo do Zoom, para entregar o malware IcedID.
“Os TAs por trás dessa campanha usaram uma página de phishing altamente convincente que parecia um site legítimo do Zoom para induzir os usuários a baixar o malware IcedID, que realiza atividades maliciosas.” lê a análise publicada pela Cyble.
A página de destino no site continha um botão de download. Ao clicar no botão, o site entregava um arquivo do instalador do Zoom a partir da URL: hxxps[:]//explorezoom[.]com/products/app/ZoomInstallerFull[.]exe . A análise realizada pelos especialistas revelou que o arquivo era uma versão do malware IcedID.

Ao executar o executável “ZoomInstallerFull.exe”, o malware insere os binários ikm.msi, maker.dll na pasta %temp%.
O “maker.dll” é uma biblioteca maliciosa usada para executar várias atividades maliciosas e carregar o malware IcedID, enquanto “ikm.msi” é um instalador legítimo do aplicativo Zoom.
Uma vez instalado, o malware IcedID tenta conectar o C2. Se o malware conseguir se conectar com sucesso ao servidor C2, ele poderá descartar cargas maliciosas adicionais no diretório %programdata%.
“IcedID é um malware altamente avançado e duradouro que afetou usuários em todo o mundo.” conclui o relatório. “O agente da ameaça utilizou um site de phishing nesta campanha específica para fornecer a carga útil do IcedID. Os agentes de ameaças estão constantemente adaptando suas técnicas para evitar a detecção por medidas de segurança cibernética.”
10 thoughts on “Pesquisadores cibernéticos alertam sobre um aplicativo Zoom modificado que foi usado por agentes de ameaças em uma campanha de phishing para entregar o Malware IcedID.”
Comments are closed.