Witold Kepinski - 08 maart 2024

Zscaler ontdekt verspreiding van Android en Windows RAT’s via online meetings

Het Zscaler ThreatLabz-team heeft onlangs een nieuwe dreiging ontdekt waarbij cybercriminelen frauduleuze Skype-, Google Meet- en Zoom-websites aanmaken om malware te verspreiden.

Zscaler ontdekt verspreiding van Android en Windows RAT’s via online meetings image

Hierbij worden Remote Access Trojans (RAT’s) verspreid: SpyNote RAT onder Android-gebruikers en NjRAT en DCRat onder Windows-gebruikers. Hiermee kan vertrouwelijke informatie worden gestolen, toetsaanslagen worden gelogd en bestanden worden gestolen. De aanvallers gebruiken shared webhosting om alle neppe online meetingwebsites te hosten op één IP-adres. Alle nepwebsites waren in het Russisch. De aanvallers hosten deze nepsites met URL’s die erg lijken op die van de echte websites.

Hoe zag de aanval eruit
Onderstaande afbeelding laat zien hoe de malware wordt verspreid en uitgevoerd op het apparaat van een slachtoffer:



Wanneer een gebruiker een van de neppe websites bezoekt en op de Android-toets drukt, start het downloaden van een kwaadaardig APK-bestand. Bij het klikken op de Windows-toets wordt een BAT-bestand gedownload. Het BAT-bestand voert extra acties uit, wat uiteindelijk leidt tot het downloaden van een RAT-payload.

De sandbox van Zscaler speelde een essentiële rol bij het analyseren van het gedrag van verschillende bestanden. De sandbox-analyse hielp Zscaler om dreigingsscores te identificeren en specifieke MITRE ATT&CK-technieken aan te wijzen die tijdens het analyseproces werden geactiveerd.

Conclusie
Het onderzoek toont aan dat organisaties het slachtoffer kunnen worden van dreigingen die zich voordoen als online meeting-applicaties. In dit geval worden nep versies van deze apps gebruikt om RAT’s te verspreiden onder Android- en Windows-gebruikers, waarmee vertrouwelijke informatie kan worden gestolen, toetsaanslagen kunnen worden gelogd en bestanden kunnen worden gestolen. Onze resultaten benadrukken de noodzaak van robuuste beveiligingsmaatregelen voor bescherming tegen geavanceerde en vaak veranderende malwaredreigingen, en het belang van regelmatige updates en beveiligingspatches.

Omdat cyberdreigingen zich blijven ontwikkelen en steeds complexer worden, is het essentieel om alert te blijven en proactieve maatregelen te nemen ter bescherming. Zscaler’s ThreatLabz-team blijft deze dreigingen volgen en de bevindingen delen.

Meer achtergrond is te vinden in deze blogpost: https://www.zscaler.com/blogs/security-research/android-and-windows-rats-distributed-online-meeting-lures.

Axians 12/11/2024 t/m 26/11/2024 BN+BW