近期，Cyble Research 和 Intelligence Lab （CRIL） 團隊，發現有許多的惡意組織都試圖透過模彷Zoom的使用者介面和 domain 的名稱，讓使用者在以為他們下載的是 Zoom 的情況下，錯誤的下載惡意的資訊竊盜軟體- Vidar 。經過 TPPs 的比對，研究者認為此惡意軟動所使用的攻擊方式與 Vidar Stealer 高度相似。Vidar 主要針對使用者的銀行資訊、儲存的密碼、IP 位置、瀏覽記錄與加密貨幣錢包等資訊進行重要資訊的竊取。

一旦用户從假冒的頁面點擊了「下載」的按鍵，假冒網頁會將快速地將使用者導向其他可以下載惡意軟體的網頁，例如：Github；並將 （1） ZOOMIN~1.EXE 和 （2） Decoder.exe 兩個檔案封包於一個臨時的資料夾，並將兩個檔案皆下載至受害者的電腦中。其中，ZOOMIN 檔則會在使用者的電腦中，正確地安裝 Zoom 軟體；而 Decoder.exe 檔案是具有攻擊性的檔案，此檔案會將資訊竊取的程式碼 （vidar） 寫電腦內容的 MSBuild.exe 中。之後，若受害者連接至網際網絡，此惡意程式碼會截取受害者的IP位置，以及配置數據和  DLL 等訊息並將此些資訊發送 Command & Control 伺服器。

一旦與 C&C 伺服器連結後，此惡意程式會自動移除，使受害者難以覺察到自身的電腦已經暴露在資料竊取的危險中。而惡意攻擊者可能會將竊得之資料販售給網路犯罪者與黑市；由於目前此類攻擊手法多在模擬 Zoom 的下載頁面，專家認為目前攻擊者的初步目標為 Zoom 軟體的使用者，因此請使用者在下載前，先確認網址的 domain 是否正確，是否有任何可疑之處，以降低可能的風險。

 

參考資料

1. New malware campaign targets zoom users, Cyble （19 Sept 2022）- https://blog.cyble.com/2022/09/19/new-malware-campaign-targets-zoom-users/