Meningkatnya aktivitas webinar dan pertemuan daring lain membuat penggunaan aplikasi telekonferensi video menjadi hal yang semakin lumrah. Zoom merupakan salah satu di antaranya.
Meskipun dapat digunakan via web tanpa perlu melakukan instalasi aplikasi, Zoom juga menyediakan aplikasi versi desktop, tentunya dengan fitur yang lebih lengkap. Aplikasi versi desktop tersebut dapat diunduh dan dipasang oleh para pengguna.
Akan tetapi, pengguna rupanya perlu lebih cermat saat akan mengunduh Zoom. Pasalnya, baru-baru ini beredar sejumlah laman web palsu yang meniru laman resmi Zoom. Hal tersebut pertama kali disadari oleh pengguna Twitter @idclickthat.
Daftar laman web Zoom palsu tersebut adalah sebagai berikut:
- zoom-download.host
- zoom-download.space
- zoom-download.fun
- zoomus.host
- zoomus.tech
- zoomus.website
Peneliti keamanan siber dari Cyble selanjutnya melakukan investigasi terhadap sekumpulan laman web yang disebutkan. Memang benar, pengguna nantinya masih akan mendapatkan berkas pemasangan Zoom, tetapi peretas telah menyisipkan program pencuri informasi ke dalamnya.
Melalui investigasinya, Cyble menemukan bahwa program pencuri informasi itu merupakan Vidar Stealer. Vidar bertujuan untuk mencuri informasi pribadi dari korbannya, meliputi data perbankan, kata sandi yang tersimpan, alamat IP, riwayat browser, kredensial login, dan dompet kripto.
Pencurian Informasi
Saat mengeklik tautan unduhan yang ditampilkan dalam laman web palsu, pengguna akan diarahkan ke url GitHub https[:]//github[.]com/sgrfbnfhgrhthr/csdvmghfmgfd/raw/main/Zoom.zip. Selanjutnya, ketika dieksekusi, instalasi palsu tersebut akan meletakkan dua program ke dalam folder temporer, yaitu "ZOOMIN~1.EXE" dan "Decoder.exe".
"ZOOMIN~1.EXE" merupakan program resmi dari Zoom yang akan menjalankan instalasi. Namun, "Decoder.exe" merupakan program .NET yang akan menyuntikkan program pencuri informasi ke dalam "MSBuild.exe" (Microsoft Build Engine), yang digunakan untuk membangun aplikasi.
Susunan proses dari aplikasi Zoom palsu dapat dilihat pada gambar di bawah.
Setelah berhasil disuntikkan ke dalam "MSBuild.exe", program yang disisipkan akan mengunduh berkas DLL dan data konfigurasi. URL yang digunakan adalah "https[:]//t[.]me/karacakahve" dan "https[:]//ieji[.]de/@tiagoa96".
Setelah eksekusi berhasil, program berbahaya yang disisipkan akan menghapus dirinya sendiri dari sistem korban melalui 2 perintah berikut.
“C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe” & del C:\ProgramData\*.dll & exit
Sumber: https://blog.cyble.com/2022/09/19/new-malware-campaign-targets-zoom-users/
Sumber gambar: Unsplash & Cyble