- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Проанализировав вредоносное ПО, специалисты выяснили, что это Vidar Stealer – вредонос, связанный с инфостилером Arkei.
Vidar нацелен на:
- Банковские данные;
- Сохраненные пароли;
- IP-адреса;
- История браузера;
- Учетные данные для входа в систему;
- Криптокошельки.
- zoom-download[.]host
- zoom-download[.]space
- zoom-download[.]fun
- zoomus[.]host
- zoomus[.]tech
- zoomus[.]website
Фейковые сайты перенаправляют пользователей на GitHub (https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip) и предлагают загрузить вредонос. После распаковки на устройстве жертвы появляются два файла:
- ZOOMIN~1.EXE – “чистый” файл, устанавливающий Zoom;
- Decoder.exe – .NET файл, который внедряется в MSBuild.exe и крадет информацию с машины. После внедрения вредонос получает IP-адреса, связанные с DLL-библиотеками и данные конфигурации.
- "C:\Windows\System32\cmd.exe" /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
- "C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe" & del C:\PrograData\*.dll & exit