Ứng dụng Zoom trở nên được quan tâm nhiều hơn trong vài tuần qua, không chỉ do số lượng người dùng sử dụng tăng cao đột biến, mà còn vì các vấn đề bảo mật và quyền riêng tư. Mặc dù vậy, hàng triệu người dùng vẫn đang sử dụng nó cho mục đích hội nghị truyền hình. Đây chính là cơ hội cho tội phạm mạng thực hiện các hành vi độc hại.
Bitdefender đã phát hiện một loại tấn công sử dụng các phiên bản giả mạo Zoom được đóng gói lại, đang được phát tán qua bên thứ ba. Các mẫu độc hại quan sát được chỉ nhắm mục tiêu vào người dùng tải ứng dụng qua bên thứ ba và không được đưa lên Google Play.
Với giao diện người dùng được giả mạo hoàn toàn giống ứng dụng gốc, một trong những phần mềm giả mạo được đóng gói lại vẫn giữ tên giống với bản gốc và thông tin chứng thực gần như giống hệt nhau. Phần mềm độc hại này được thiết kế để tải xuống một payload từ cơ sở hạ tầng C&C tại tcp[:]//googleteamsupport[.]ddns.net:4444.
Tên miền này là một dịch vụ DNS động, cho phép người dùng có địa chỉ IP động ánh xạ nó sang tên miền phụ. Do đó, có thể cung cấp dịch vụ mà không bị gián đoạn, ngay cả khi địa chỉ IP động thay đổi, Bitdefender giải thích.
Hãng bảo mật đã liên kết được tên miền phụ này với sweetman2020[.]no-ip[.]biz, được sử dụng làm máy chủ C&C cho Trojan truy cập từ xa trên Android (RAT) có tên SandoRAT và DroidJack.
Một ứng dụng Zoom được chèn mã độc khác cũng đã được phát hiện, nhắm mục tiêu vào người dùng Trung Quốc. Sau khi cài đặt, ứng dụng yêu cầu quyền truy cập điện thoại, vị trí và hình ảnh. Ứng dụng cũng được thiết kế để hiển thị quảng cáo trên thiết bị của nạn nhân, nhưng chỉ trong thời gian ngắn.
Một mẫu độc hại giả mạo Zoom thứ ba nhắm mục tiêu vào người dùng Android tại Mỹ. Được đặt tên là Zoom Cloud Meetings, ứng dụng sẽ tự ẩn khỏi menu sau khi thực thi, sau đó bắt đầu một cảnh báo lặp đi lặp lại, đưa người dùng ngẫu nhiên tới một dịch vụ quảng cáo.
Sau đó, ứng dụng độc hại này sẽ kiểm tra chuỗi mã hardcorded của tài khoản admin và yêu cầu quyền admin nếu chuỗi đó là đúng. Nếu không, nó sẽ cố gắng tải xuống một tệp khác khi khởi chạy. Mẫu độc hại này có thể yêu cầu quyền admin của thiết bị bằng tiếng Anh hoặc tiếng Nga, tùy thuộc vào ngôn ngữ mặc định của thiết bị. Nó cũng có thể tự khởi động khi thiết bị được bật nguồn.
T.U
Theo SecurityWeek
08:00 | 30/03/2020
08:00 | 19/07/2019
09:00 | 15/04/2020
09:00 | 29/04/2020
22:00 | 30/04/2020
09:00 | 09/03/2015
13:00 | 07/04/2020
07:00 | 24/05/2021
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 17/09/2024
Google thông báo rằng họ đã vá lỗ hổng zero-day thứ mười bị khai thác trong thực tế vào năm 2024.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
10:00 | 23/08/2024
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024
