Dutch IT Chanel Logo mobile
Search icon
Witold Kepinski - 08 maart 2024

Zscaler ontdekt verspreiding van Android en Windows RAT’s via online meetings

Het Zscaler ThreatLabz-team heeft onlangs een nieuwe dreiging ontdekt waarbij cybercriminelen frauduleuze Skype-, Google Meet- en Zoom-websites aanmaken om malware te verspreiden.

Security Cyberrime Video network & mobility solutions
Zscaler ontdekt verspreiding van Android en Windows RAT’s via online meetings image

Hierbij worden Remote Access Trojans (RAT’s) verspreid: SpyNote RAT onder Android-gebruikers en NjRAT en DCRat onder Windows-gebruikers. Hiermee kan vertrouwelijke informatie worden gestolen, toetsaanslagen worden gelogd en bestanden worden gestolen. De aanvallers gebruiken shared webhosting om alle neppe online meetingwebsites te hosten op één IP-adres. Alle nepwebsites waren in het Russisch. De aanvallers hosten deze nepsites met URL’s die erg lijken op die van de echte websites.

Hoe zag de aanval eruit
Onderstaande afbeelding laat zien hoe de malware wordt verspreid en uitgevoerd op het apparaat van een slachtoffer:



Wanneer een gebruiker een van de neppe websites bezoekt en op de Android-toets drukt, start het downloaden van een kwaadaardig APK-bestand. Bij het klikken op de Windows-toets wordt een BAT-bestand gedownload. Het BAT-bestand voert extra acties uit, wat uiteindelijk leidt tot het downloaden van een RAT-payload.

De sandbox van Zscaler speelde een essentiële rol bij het analyseren van het gedrag van verschillende bestanden. De sandbox-analyse hielp Zscaler om dreigingsscores te identificeren en specifieke MITRE ATT&CK-technieken aan te wijzen die tijdens het analyseproces werden geactiveerd.

Conclusie
Het onderzoek toont aan dat organisaties het slachtoffer kunnen worden van dreigingen die zich voordoen als online meeting-applicaties. In dit geval worden nep versies van deze apps gebruikt om RAT’s te verspreiden onder Android- en Windows-gebruikers, waarmee vertrouwelijke informatie kan worden gestolen, toetsaanslagen kunnen worden gelogd en bestanden kunnen worden gestolen. Onze resultaten benadrukken de noodzaak van robuuste beveiligingsmaatregelen voor bescherming tegen geavanceerde en vaak veranderende malwaredreigingen, en het belang van regelmatige updates en beveiligingspatches.

Omdat cyberdreigingen zich blijven ontwikkelen en steeds complexer worden, is het essentieel om alert te blijven en proactieve maatregelen te nemen ter bescherming. Zscaler’s ThreatLabz-team blijft deze dreigingen volgen en de bevindingen delen.

Meer achtergrond is te vinden in deze blogpost: https://www.zscaler.com/blogs/security-research/android-and-windows-rats-distributed-online-meeting-lures.

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Witold Kepinski

Witold Kepinski

Witold Kepinski (1969) is Editor-in-Chief en Director Content en mede-aandeelhouder van Dutch IT Channel en Dutch IT Leaders. Witold Kepinski is 25 jaar actief in de IT Media en Tech Business branche

Witold Kepinski geeft met een gespecialiseerd team van redacteuren, bloggers en videomakers inzicht in tech business trends en toepassingen waarmee IT-beslissers en Channel Partners impact maken.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!