Cyberthreat.id – Peneliti keamanan dari cybersecurity Cyfirma mengungkapkan bahwa pelaku ancaman yang dikenal sebagai FIN11 atau Clop telah meniru halaman unduhan web Aplikasi Zoom untuk melakukan kampanye phishing yang menargetkan pengguna di seluruh dunia.

Dikutip dari Info Security Magazine, peneliti mengatakan bahwa FIN11 diamati menggunakan halaman unduhan Zoom untuk menginstal pencuri informasi (Vidar) yang menargetkan permukaan serangan besar. Kami juga mengamati alamat IP yang sebelumnya dikaitkan dengan AsyncRAT.

Peneliti juga menyebutkan, bahwa aktor ancaman yang berbasis di Rusia ini, juga dikaitkan dengan ransomware Clop untuk penyebaran ransomware pasca-kompromi dan pemerasan pencurian data.

“Asosiasi dengan kelompok ransomware ini meningkatkan kemungkinan sistem yang disusupi menjadi calon korban ransomware,” kata peneliti.

Dalam penyelidikan terbarunya, perusahaan keamanan siber mengatakan telah menemukan beberapa halaman unduhan Zoom Video Communications palsu, yang semuanya memiliki Federasi Rusia sebagai negara pendaftar untuk semua host. Dari sudut pandang teknis, pelaku ancaman mengirimkan aplikasi Zoom berbahaya melalui URL phishing yang menyamar sebagai situs web dan aplikasi Zoom yang sah.

Setelah mengeksekusi file "Zoom.exe" berbahaya, malware menjatuhkan "Decoder.exe," yang bertindak sebagai pengunduh untuk mengunduh muatan tambahan (trojan akses jarak jauh (RAT) dan pencuri informasi) di samping pengaturan aplikasi Zoom yang sah, penasehat itu menjelaskan. MSBuild.exe yang disuntikkan juga mengunduh pustaka tautan dinamis (DLL) yang terkait dengan pencuri informasi Vidar.

Mengenai motif di balik serangan itu, Cyfirma mengatakan pihaknya yakin mereka mungkin bersifat finansial.

“Tim peneliti Cyfirma percaya dengan keyakinan moderat bahwa FIN11 yang bermotivasi finansial berada di balik kampanye ini yang melibatkan halaman unduhan palsu dari aplikasi web populer yang digunakan di seluruh dunia,” kata para peneliti.

Daftar indikator kompromi (IOC) yang terhubung dengan FIN11 tersedia dalam penulisan teknis. Publikasinya datang beberapa bulan setelah Five Eyes Agencies memasukkan sistem yang dikompromikan oleh FIN11 dalam daftar kerentanan yang paling banyak dieksploitasi pada tahun 2021.