Hackers têm como alvo os trabalhadores remotos com o falso download do Zoom

A pandemia de coronavírus e os bloqueios resultantes levaram a um aumento do trabalho remoto, o que significa que mais pessoas estão a utilizar ferramentas de videoconferência como o Zoom para comunicar com os colegas, bem como para socializar com os amigos.

Mas a necessidade de trabalhar a partir de casa é algo de que os cibercriminosos estão a tentar tirar partido e agora os investigadores da empresa de cibersegurança TrendMicro descobriram uma nova campanha de cibercriminosos que tenta explorar as actuais circunstâncias para enganar os trabalhadores remotos na instalação do RevCode WebMonitor RAT.

Os investigadores sublinham que o software comprometido não vem do próprio centro de downloads do Zoom ou de qualquer loja oficial de aplicações – os downloads vêm de sites maliciosos de terceiros. É provável que as vítimas sejam atraídas para os downloads infectados por ligações maliciosas enviadas em e-mails de phishing e outras mensagens.

Uma vez descarregado o arquivo, executa um instalador que fornece o software de videoconferência, bem como executa a ferramenta de acesso remoto WebMonitor.

A instalação da ferramenta maliciosa em sistemas Windows compostos dá aos atacantes uma porta traseira que permite a observação remota de quase qualquer atividade que ocorra na máquina. Isso inclui keylogging, gravação de fluxos de webcam e captura de telas, tudo o que pode ser usado para roubar informações pessoais sensíveis.

No entanto, o WebMonitor termina por si mesmo se for executado num ambiente virtual – um método de defesa num esforço para impedir a descoberta e o exame por investigadores de segurança. O RAT está disponível em fóruns subterrâneos desde meados de 2017, mas a ferramenta de produtos de base ainda está a revelar-se um sucesso.

Neste caso, a forma como está agregada a uma versão do Zoom é um meio de evitar suspeitas por parte do utilizador – se instalaram o software e este não funcionou, podem suspeitar que algo está errado.

Mas ainda há um sinal de que pode haver algo suspeito sobre o download – os sites maliciosos empurram o Zoom versão 4.6, mas agora o software oficial Zoom está a correr a versão 5.0, por isso a versão utilizada no ataque está agora desatualizada.

Disfarçar o malware dentro de um instalador para software legítimo é uma tática regular para cibercriminosos e o Zoom está longe de ser a única aplicação que tem sido utilizada – mas os atacantes estão a recorrer cada vez mais a ela, devido ao quão popular se tornou nos últimos meses.

A melhor forma de os utilizadores evitarem ser vítimas deste tipo de ataque é apenas efetuando download de instaladores a partir de fontes oficiais – e se lhe for enviado um link para descarregar uma aplicação, é melhor visitar o site oficial e descarregá-la você mesmo.

Via: Zdnet

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *