Επιθέσεις μέσω ιστότοπων τηλεδιάσκεψης

Σύμφωνα με τον πάροχο ασφάλειας cloud Zscaler, ένας φορέας απειλών διανέμει Trojans απομακρυσμένης πρόσβασης (RAT) σε λειτουργικά συστήματα Android και Windows, χρησιμοποιώντας ως «δέλεαρ» λογισμικά online συναντήσεων. Η εκστρατεία αυτή ξεκίνησε τουλάχιστον από τον Δεκέμβριο του 2023, όπως παρατήρησε η ομάδα πληροφοριών απειλών της Zscaler, ThreatLabz. Τα διανεμόμενα RATs περιλαμβάνουν το SpyNote RAT με επίκεντρο το Android και τα NjRAT και DCRat με επίκεντρο τα Windows.

Για να δελεάσει τα θύματά του να κατεβάσουν τα RATs, ο φορέας απειλών έχει δημιουργήσει διάφορες ψεύτικες τοποθεσίες διαδικτυακών συναντήσεων, υποδυόμενος εμπορικά σήματα, όπως το Skype που ανήκει στη Microsoft, το Google Meet και το Zoom. «Όλες οι ψεύτικες τοποθεσίες ήταν στα ρωσικά», σημείωσαν οι ερευνητές του Zscaler ThreatLabz.

Οι επιτιθέμενοι χρησιμοποιούν υπηρεσίες shared web hosting όπου «φιλοξενούνται» όλοι οι ιστότοποι σε μία μόνο διεύθυνση IP. Ο πρώτος δημιουργήθηκε στις αρχές Δεκεμβρίου 2023 με μια διεύθυνση URL που μοιάζει με τη νόμιμη διεύθυνση URL του Skype.

Όταν ένας χρήστης επισκέπτεται έναν από τους ψεύτικους ιστότοπους, κάνοντας κλικ στο κουμπί Android ξεκινά η λήψη ενός κακόβουλου αρχείου APK, ενώ κάνοντας κλικ στο κουμπί Windows ξεκινά η λήψη ενός αρχείου BAT, ενός σεναρίου στα Windows που αυτοματοποιεί εργασίες. Όταν εκτελεστεί, αυτό το αρχείο BAT εκτελεί πρόσθετες ενέργειες, οδηγώντας τελικά στη λήψη ενός ωφέλιμου φορτίου RAT.