Így működik az átverés
A támadás egy látszólag ártalmatlan AppleScript-tel indul, amely Zoom SDK-frissítésnek tűnik, ám valójában a kódsorok között – több mint 10 000 üres sor alá rejtve – rejtőzik a kártékony letöltési utasítás. Ez a parancs a zoom-tech[.]us egyik kamu domainjéről tölti le a víruscsomagot, amely telepítés után azonnal beépül a rendszerbe a LaunchDaemon konfiguráción keresztül, és rendszergazdai jogosultságokkal indul minden újraindításkor.
Láthatatlan támadás, nehezen észrevehető trükkök
A vírus további elemeket is letölt, amelyek átnevezve icloud_helper vagy Wi-Fi Updater néven bújnak meg, és a nyomok eltüntetését végzik. Ezek az eszközök törlik a telepítés során keletkező ideiglenes fájlokat és mappákat, így nehéz lebuktatni őket, miközben a támadók távolról hozzáférést kapnak az áldozat gépéhez.
Mit lophatnak el?
A támadás jóval többet céloz, mint egyszerű jelszavak megszerzését: a kód kifejezetten keresi a kriptotárca-bővítményeket, a böngészőbe mentett belépési adatokat és hitelesítési kulcsokat. 2024. május 28-án például egy kanadai online szerencsejáték-céget ért ilyen támadás.
Így védekezz
Érdemes minden Zoom-találkozó résztvevőjét külön is ellenőrizni, a gyanús domaineket tiltani, és erős vírusirtót, biztonsági mentést használni, különösen cégek és kriptoeszközök esetén. Hasznos továbbá a munkatársak képzése adathalászat és átverések témájában, illetve a hardveres kriptotárcák használata, hogy adataid ne válhassanak a következő MI-alapú támadás áldozatává.
