A Trend Micro detectou no início de abril um malware que se passa pelo instalador do Zoom para espalhar um minerador de criptomoedas. O ataque utiliza a RAT (Remote Access Tool)RevCode WebMonitor. Os que vêm com o malware não são de fontes oficiais do aplicativo Zoom, como o próprio centro de downloads do Zoom ou lojas de aplicativos legítimas, como a Apple App Store e o Google Play Store.
Segundo a Trend Micro, muitas variantes de malware se apresentam como aplicativos legítimos, e o Zoom não é o único aplicativo usado para esse tipo de ameaça. "Nesse caso específico, os cibercriminosos podem ter 'reembalado' os instaladores legítimos com o WebMonitor RAT e lançado esses instaladores em sites maliciosos", diz a empresa.
Quando o usuário baixa o arquivo ZoomIntsaller.exe de fontes maliciosas, ele contém a combinação de um instalador não-malicioso do Zoom e a RAT RevCode WebMonitor. Ao executar o ZoomInstaller.exe, ele solta uma cópia de si mesmo chamada Zoom.exe. A backdoor se conecta ao URL dabmaster[.]wm01[.]to e executa comandos do atacante remotamente. Entre os comandos executados estão adicionar, excluir e alterar arquivos e informações do registro; fechar conexões; obter informações de software e hardware; obter drivers/captura da webcam; gravar áudio e logar o que a vítima digita; iniciar, suspender e encerrar processos e serviços; iniciar/parar um stream da tela; iniciar/parar um AP wifi.
O malware também cria o arquivo Zoom.vbs na pasta Inicialização do usuário do Windows, permitindo assim a execução automática em cada inicialização do sistema. No entanto, esses processos não poderão ser concluídos caso haja debuggers ou segurança instaladas. Veja aqui quais são as ferramentas. Lembrando que o Zoom lançou, recentemente, a versão 5.0, corrigindo uma série de falhas de segurança.
Comentários Recomendados
Participe da conversa
Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.