Исследователь провел анализ обнаруженного клона приложения для видеозвонков MiroTalk и выяснил, что оно представляет серьезную угрозу.
Miro Talk - это законное приложение, которое позволяет запустить видеозвонок одним щелчком мыши прямо из браузера. Не требуется загрузка плагина и авторизация.
На VirusTotal уже присутствует подробная информация с анализом:
Файл образа не имеет цифровой подписи, так что на MacOS система будет автоматически блокировать его выполнение.
При подробном анализе было обнаружено что образ содержит имена методов (fileUpload, pDownFinished, run), которые раскрывают вероятные возможности эксфильтрации, загрузки и выполнения.
Приложение было обнаружено по адресу https://mirotalk.net/app/MiroTalk.dmg, тогда как официальный сайт MiroTalk имеет адрес https://meet.no42.org.
Исследователь дополнительно предоставляет индикаторы компрометации, которые помогут вашим системам защиты не столкнуться с вредоносным ПО:
- MiroTalk.dmg SHA-256: 0F5F0A3AC843DF675168F82021C24180EA22F764F87F82F9F77FE8F0BA0B7132
- Jami: SHA-256 0F5F0A3AC843DF675168F82021C24180EA22F764F87F82F9F77FE8F0BA0B7132
- Command & Control Server: 95.164.17.24
Будьте внимательны и проверяйте адреса ресурсов, с которых загружаете файлы.