假冒Skype、Zoom、Google Meet的网站使用多种RAT感染设备
Android和Windows用户请谨防Google Meet、Zoom和Skype等虚假在线会议网站,它们会使用SpyNote RAT for Android、NjRAT和DCRat等恶意软件感染设备。
Zscaler的ThreatLabz网络安全研究人员发现了一种新骗局,其中远程访问木马(RAT)通过在线会议平台分发,针对Android和Windows用户携带恶意软件。目的是分发可以窃取敏感数据并控制受感染设备的恶意软件。
研究人员于2023年12月发现一个威胁行为者创建欺诈网站来传播恶意软件,包括适用于Android的SpyNote RAT以及适用于Windows的NjRAT和DCRat。这些RAT可以窃取机密信息并记录击键。用户被冒充Skype、Google Meet和Zoom等品牌的虚假在线会议网站所吸引。
该攻击者使用共享网络托管,将所有虚假网站托管在一个俄语IP地址上,并且URL与实际网站非常相似。攻击者利用这些虚假网站分发了多个恶意软件系列,对无辜用户构成了重大威胁。
要下载该软件,用户必须单击Android或Windows按钮。当他们点击Android时,就会下载恶意APK文件,而点击Windows按钮则会触发BAT文件的下载,该文件会自动执行任务并执行其他操作,例如下载RAT有效负载。
模仿合法在线会议平台的活动是一个重大威胁,虚假网站模仿其外观和功能。正如Zscaler在博客文章中指出的那样,去年12月,创建了一个假Skype网站join-skypeinfo,以诱骗用户下载该应用程序,从而生成一个BAT文件和一个WinRAR存档文件。
假冒的Google Meet网站online-cloudmeetingpro托管在类似于加入链接的子路径上。假冒Zoom网站的URL包含真实的Zoom会议ID,这增加了成为骗局受害者的风险。
这些假网站还包含一个包含NjRAT可执行文件的开放目录,这表明攻击者可能会在其他活动中使用它们。
此类活动可能会产生毁灭性后果。RAT可以危害设备,使攻击者能够窃取敏感信息、监视用户活动并可能控制受感染的设备。
为了保护自己,请仔细检查URL、验证会议邀请、从官方来源下载软件以及使用防病毒和反恶意软件。谨防假冒网站,验证会议邀请,并从官方来源下载应用程序。