Ứng dụng Zoom trở nên được quan tâm nhiều hơn trong vài tuần qua, không chỉ do số lượng người dùng sử dụng tăng cao đột biến, mà còn vì các vấn đề bảo mật và quyền riêng tư. Mặc dù vậy, hàng triệu người dùng vẫn đang sử dụng nó cho mục đích hội nghị truyền hình. Đây chính là cơ hội cho tội phạm mạng thực hiện các hành vi độc hại.
Bitdefender đã phát hiện một loại tấn công sử dụng các phiên bản giả mạo Zoom được đóng gói lại, đang được phát tán qua bên thứ ba. Các mẫu độc hại quan sát được chỉ nhắm mục tiêu vào người dùng tải ứng dụng qua bên thứ ba và không được đưa lên Google Play.
Với giao diện người dùng được giả mạo hoàn toàn giống ứng dụng gốc, một trong những phần mềm giả mạo được đóng gói lại vẫn giữ tên giống với bản gốc và thông tin chứng thực gần như giống hệt nhau. Phần mềm độc hại này được thiết kế để tải xuống một payload từ cơ sở hạ tầng C&C tại tcp[:]//googleteamsupport[.]ddns.net:4444.
Tên miền này là một dịch vụ DNS động, cho phép người dùng có địa chỉ IP động ánh xạ nó sang tên miền phụ. Do đó, có thể cung cấp dịch vụ mà không bị gián đoạn, ngay cả khi địa chỉ IP động thay đổi, Bitdefender giải thích.
Hãng bảo mật đã liên kết được tên miền phụ này với sweetman2020[.]no-ip[.]biz, được sử dụng làm máy chủ C&C cho Trojan truy cập từ xa trên Android (RAT) có tên SandoRAT và DroidJack.
Một ứng dụng Zoom được chèn mã độc khác cũng đã được phát hiện, nhắm mục tiêu vào người dùng Trung Quốc. Sau khi cài đặt, ứng dụng yêu cầu quyền truy cập điện thoại, vị trí và hình ảnh. Ứng dụng cũng được thiết kế để hiển thị quảng cáo trên thiết bị của nạn nhân, nhưng chỉ trong thời gian ngắn.
Một mẫu độc hại giả mạo Zoom thứ ba nhắm mục tiêu vào người dùng Android tại Mỹ. Được đặt tên là Zoom Cloud Meetings, ứng dụng sẽ tự ẩn khỏi menu sau khi thực thi, sau đó bắt đầu một cảnh báo lặp đi lặp lại, đưa người dùng ngẫu nhiên tới một dịch vụ quảng cáo.
Sau đó, ứng dụng độc hại này sẽ kiểm tra chuỗi mã hardcorded của tài khoản admin và yêu cầu quyền admin nếu chuỗi đó là đúng. Nếu không, nó sẽ cố gắng tải xuống một tệp khác khi khởi chạy. Mẫu độc hại này có thể yêu cầu quyền admin của thiết bị bằng tiếng Anh hoặc tiếng Nga, tùy thuộc vào ngôn ngữ mặc định của thiết bị. Nó cũng có thể tự khởi động khi thiết bị được bật nguồn.
T.U
Theo SecurityWeek
08:00 | 30/03/2020
08:00 | 19/07/2019
09:00 | 15/04/2020
09:00 | 29/04/2020
22:00 | 30/04/2020
09:00 | 09/03/2015
13:00 | 07/04/2020
07:00 | 24/05/2021
13:00 | 25/07/2024
Các trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Opera và Brave đều dựa trên nền tảng mã nguồn mở Chromium hiện đang bị cáo buộc âm thầm gửi thông tin người dùng cho Google.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
13:00 | 06/06/2024
Hàng loạt các ransomware như LockBit, HelloKitty, BlackMatter, RedAlert (N13V), Scattered Spider, Akira, Cactus, BlackCat và Cheerscrypt... đã nhắm mục tiêu vào cơ sở hạ tầng VMware ESXi theo một chuỗi hành động tương tự nhau.
14:00 | 28/05/2024
Vừa qua, CISA và FBI cho biết các tin tặc Black Basta đã xâm phạm hơn 500 tổ chức trong khoảng thời gian từ tháng 4/2022 đến tháng 5/2024.
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
11:00 | 03/09/2024