Jump to content
  • Sign in to follow this  

    Minerador disfarçado de Zoom


    Bruna Chieco

    A Trend Micro detectou no início de abril um malware que se passa pelo instalador do Zoom para espalhar um minerador de criptomoedas. O ataque utiliza a RAT (Remote Access Tool)RevCode WebMonitor. Os que vêm com o malware não são de fontes oficiais do aplicativo Zoom, como o próprio centro de downloads do Zoom ou lojas de aplicativos legítimas, como a Apple App Store e o Google Play Store. 

    Segundo a Trend Micro, muitas variantes de malware se apresentam como aplicativos legítimos, e o Zoom não é o único aplicativo usado para esse tipo de ameaça. "Nesse caso específico, os cibercriminosos podem ter 'reembalado' os instaladores legítimos com o WebMonitor RAT e lançado esses instaladores em sites maliciosos", diz a empresa. 

    Quando o usuário baixa o arquivo ZoomIntsaller.exe de fontes maliciosas, ele contém a combinação de um instalador não-malicioso do Zoom e a RAT RevCode WebMonitor. Ao executar o ZoomInstaller.exe, ele solta uma cópia de si mesmo chamada Zoom.exe. A backdoor se conecta ao URL dabmaster[.]wm01[.]to e executa comandos do atacante remotamente. Entre os comandos executados estão adicionar, excluir e alterar arquivos e informações do registro; fechar conexões; obter informações de software e hardware; obter drivers/captura da webcam; gravar áudio e logar o que a vítima digita; iniciar, suspender e encerrar processos e serviços; iniciar/parar um stream da tela; iniciar/parar um AP wifi.

    O malware também cria o arquivo Zoom.vbs na pasta Inicialização do usuário do Windows, permitindo assim a execução automática em cada inicialização do sistema. No entanto, esses processos não poderão ser concluídos caso haja debuggers ou segurança instaladas. Veja aqui quais são as ferramentas. Lembrando que o Zoom lançou, recentemente, a versão 5.0, corrigindo uma série de falhas de segurança.

    Sign in to follow this  


    User Feedback

    Recommended Comments

    There are no comments to display.



    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...