Trojan disfarçado de Zoom Cloud Meeting rouba cripto moedas

Falso App é uma ameaça evasiva que deixa poucos vestígios de sua presença no dispositivo e, ao ser instalado, toma o controle do equipamento usando-o para realizar a mineração de moedas criptografadas

Compartilhar:

Um Trojan disfarçado de App Zoom Cloud Meeting foi identificado há dois dias e, uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de cripto mining – mineração de moedas criptografadas. Trata-se de uma ameaça evasiva que deixa poucos vestígios de sua ação sobre o dispositivo, informa a equipe do centro de monitoração de ameaças SonicWall Capture Labs.

 

Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do COVID-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.

 

Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”, destaca.

 

Ciclo de infecção

 

Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer. Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:

 

·          %Temp%\Zoominstaller.exe (instalador legítimo)

·          %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)

 

Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.

 

Enquanto isso, o malware adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa criando um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor ao configurar o ambiente do proxy.

 

Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:

 

 

 

 

 

 

 

 

 

 

Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.

 

A SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. E ressalta a importância dos usuários serem sempre vigilantes e cautelosos ao instalar programas de software, particularmente se não tiver certeza da fonte.

 

 

Conteúdos Relacionados

Security Report | Destaques

Segurança é peça essencial para os M&As da Senior Sistemas

Em um contexto de alta complexidade dos ambientes digitais, contar com estruturas eficientes e uma Cyber vigilante é fundamental. Por...
Security Report | Destaques

Aprenda com quem faz: Security Leaders lança Store com foco na liderança prática do CISO

Nova plataforma reúne e-books, cursos online e mentorias individuais conduzidos por líderes que vivem os desafios reais da Cibersegurança nas...
Security Report | Destaques

Segurança empoderada e by design é essencial na gestão de risco da IA, apontam agências de Cyber

Gestoras de Segurança Cibernética dos países membros da Five Eyes Alliance emitiram uma nota conjunta para alertar sobre os riscos...
Security Report | Destaques

42% das empresas no Brasil já sofreram incidentes relacionados à IA

Estudo global da Proofpoint aponta ainda que esse número chega à 40% mesmo em empresas que contam com controles rígidos...