Trojan disfarçado de Zoom Cloud Meeting rouba cripto moedas

Falso App é uma ameaça evasiva que deixa poucos vestígios de sua presença no dispositivo e, ao ser instalado, toma o controle do equipamento usando-o para realizar a mineração de moedas criptografadas

Compartilhar:

Um Trojan disfarçado de App Zoom Cloud Meeting foi identificado há dois dias e, uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de cripto mining – mineração de moedas criptografadas. Trata-se de uma ameaça evasiva que deixa poucos vestígios de sua ação sobre o dispositivo, informa a equipe do centro de monitoração de ameaças SonicWall Capture Labs.

 

Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do COVID-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.

 

Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”, destaca.

 

Ciclo de infecção

 

Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer. Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:

 

·          %Temp%\Zoominstaller.exe (instalador legítimo)

·          %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)

 

Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.

 

Enquanto isso, o malware adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa criando um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor ao configurar o ambiente do proxy.

 

Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:

 

 

 

 

 

 

 

 

 

 

Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.

 

A SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. E ressalta a importância dos usuários serem sempre vigilantes e cautelosos ao instalar programas de software, particularmente se não tiver certeza da fonte.

 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Tribunal de Justiça do Paraná confirma instabilidade repentina no portal oficial

Corte aponta sobrecarga de acessos como causa da falha, mas garante que serviços e segurança dos dados não foram comprometidos
Security Report | Destaques

Polícia Federal faz novas prisões de envolvidos no ciberataque ao Pix

As autoridades detiveram oito pessoas que teriam feito parte da organização criminosa responsável por ataques às provedoras Sinqia e C&M...
Security Report | Destaques

Jaguar Land Rover confirma vazamento de dados em ciberataque

Em nova atualização sobre o incidente cibernético que paralisou fábricas e pontos de venda da montadora, foi informado que o...
Security Report | Destaques

Novas normas de SI do Bacen ampliam foco sobre Ecossistema seguro, apontam CISOs

Líderes de Segurança da Informação ligados ao sistema financeiro apoiaram as novas exigências de Segurança para que instituições financeiras possam...