Trojan disfarçado de Zoom Cloud Meeting rouba cripto moedas

Falso App é uma ameaça evasiva que deixa poucos vestígios de sua presença no dispositivo e, ao ser instalado, toma o controle do equipamento usando-o para realizar a mineração de moedas criptografadas

Compartilhar:

Um Trojan disfarçado de App Zoom Cloud Meeting foi identificado há dois dias e, uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de cripto mining – mineração de moedas criptografadas. Trata-se de uma ameaça evasiva que deixa poucos vestígios de sua ação sobre o dispositivo, informa a equipe do centro de monitoração de ameaças SonicWall Capture Labs.

 

Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do COVID-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.

 

Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”, destaca.

 

Ciclo de infecção

 

Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer. Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:

 

·          %Temp%\Zoominstaller.exe (instalador legítimo)

·          %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)

 

Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.

 

Enquanto isso, o malware adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa criando um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor ao configurar o ambiente do proxy.

 

Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:

 

 

 

 

 

 

 

 

 

 

Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.

 

A SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. E ressalta a importância dos usuários serem sempre vigilantes e cautelosos ao instalar programas de software, particularmente se não tiver certeza da fonte.

 

 

Conteúdos Relacionados

Security Report | Destaques

Dataprev investiga suposto comprometimento de dados no INSS

Nesta semana, circularam nas redes informação de que o sistema de Comunicação de Acidente de Trabalho (CAT), ligado ao instituto...
Security Report | Destaques

Aarin Tech-Fin renova estratégia de borda baseada em confiança zero

Proteger o acesso às APIs críticas para a operação empresarial era um dos grandes desafios encarados pela companhia de serviços...
Security Report | Destaques

Grupo Sabin é atingido por incidente cibernético

Companhia de Diagnósticos de Saúde confirmou, por meio de nota, que um ciberataque impactou suas operações na loja online no...
Security Report | Destaques

Boas práticas de SI em São Paulo: guia busca conduzir estratégia de resiliência no estado

A Secretaria de Gestão e Governo Digital (SGGD) do Estado de São Paulo instituiu, no fim de 2024, um plano...