Alerta: Trojan disfarçado de Zoom Cloud Meeting domina o dispositivo do usuário e rouba cripto moedas
- Experts do centro de monitoração de ameaças digitais SonicWall Capture Labs identificaram esse malware há dois dias;
- Esse falso App é uma ameaça evasiva que deixa poucos vestígios de sua presença no dispositivo digital;
- Somente em março, o número de usuários do Zoom Cloud Meeting saltou de 10 milhões para 200 milhões, tornando esse App um dos principais alvos de criminosos digitais.
A SonicWall, empresa de segurança da informação que protege mais de 1 milhão de redes em todo o mundo, revela que os experts do centro de monitoração de ameaças SonicWall Capture Labs identificaram há dois dias um Trojan disfarçado de App Zoom Cloud Meeting. Uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de cripto mining – mineração de moedas criptografadas. Trata-se de uma ameaça evasiva, que deixa poucos vestígios de sua ação sobre o dispositivo do usuário.
Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do COVID-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.
O malware disfarçado de Zoom Cloud Meeting é um software que, ao ser instalado no dispositivo digital do usuário, toma o controle desse equipamento e passa a usá-lo para realizar a mineração (roubo) de moedas criptografadas.
Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”.
Ciclo de infecção:
Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer.
Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:
- %Temp%\Zoominstaller.exe (instalador legítimo)
- %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)
Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.
Enquanto isso, ele adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa.
Na execução de helper.exe, ele cria um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor.
Ele executa o cliente Tor executando “tor.exe” para configurar o ambiente do proxy usando seu próprio config.
Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:
Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.
Veja como se proteger dessa ameaça:
SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. Seja sempre vigilante e cauteloso ao instalar programas de software, particularmente se não tiver certeza da fonte.
SonicWall Capture Labs fornece proteção contra essa ameaça por meio da seguinte assinatura:
- GAV: Autoit.OLS_2 (Trojan)
Essa ameaça é também detectada pelas soluções endpoint SonicWALL Capture ATP w/RTDMI e Capture Client.
Sobre a SonicWall
A SonicWall oferece o modelo Boundless Cybersecurity, algo essencial na era da computação hiper distribuída. Resolvemos os desafios de segurança dos negócios digitais, protegendo PMEs, corporações e governos, quaisquer que sejam seus pontos de exposição a ataques. Ao revelar ameaças ainda desconhecidas, fornecendo visibilidade em tempo real ao gestor de segurança, a SonicWall possibilita a contínua inovação da economia. A inteligência SonicWall interrompe os ataques cibernéticos mais evasivos. Para mais informações, visite www.sonicwall.com/pt-br/ ou siga-nos no Twitter (Brasil), LinkedIn (LATAM), Facebook e Instagram.