Trojan disfarçado de Zoom Cloud Meeting rouba cripto moedas

Falso App é uma ameaça evasiva que deixa poucos vestígios de sua presença no dispositivo e, ao ser instalado, toma o controle do equipamento usando-o para realizar a mineração de moedas criptografadas

Compartilhar:

Um Trojan disfarçado de App Zoom Cloud Meeting foi identificado há dois dias e, uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de cripto mining – mineração de moedas criptografadas. Trata-se de uma ameaça evasiva que deixa poucos vestígios de sua ação sobre o dispositivo, informa a equipe do centro de monitoração de ameaças SonicWall Capture Labs.

 

Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do COVID-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.

 

Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”, destaca.

 

Ciclo de infecção

 

Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer. Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:

 

·          %Temp%\Zoominstaller.exe (instalador legítimo)

·          %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)

 

Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.

 

Enquanto isso, o malware adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa criando um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor ao configurar o ambiente do proxy.

 

Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:

 

 

 

 

 

 

 

 

 

 

Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.

 

A SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. E ressalta a importância dos usuários serem sempre vigilantes e cautelosos ao instalar programas de software, particularmente se não tiver certeza da fonte.

 

 

Conteúdos Relacionados

Security Report | Destaques

Q-Day à vista: riscos devem acelerar transição para criptografia pós-quântica?

Embora a computação quântica ainda esteja em fase experimental, adversários já se antecipam ao coletar dados criptografados que poderão ser...
Security Report | Destaques

Tribunal Penal Internacional detecta nova tentativa de ciberataque

Corte responsável por julgar crimes contra a humanidade já havia sido alvo de um ataque cibernético em setembro de 2023,...
Security Report | Destaques

Fundamentos da Cyber são construídos por diversidade nas equipes, afirmam gestoras da AWS

As lideranças femininas da provedora de tecnologia de cloud promoveram entrevistas com a imprensa durante o re:Inforce 2025, com o...
Security Report | Destaques

STF define responsabilização de Big Techs por conteúdos criminosos

A Suprema corte concluiu votação sobre a inconstitucionalidade parcial do artigo 19 do Marco Civil da Internet, ampliando a responsabilização...