SecurityOpenLab

Zoom: installazione in bundle con il RAT WebMonitor

Alcuni pacchetti di installazione presenti su siti non ufficiali includono un pericoloso malware. Zoom esorta a scaricare l'installer solo dalle fonti ufficiali.

Un'altra insidia affligge i nuovi utenti di Zoom. I ricercatori di Trend Micro hanno individuato un nuovo malware. Lo hanno battezzato Backdoor.Win32.REVCODE.THDBABO ed è incluso nei pacchetti di installazione non ufficiali dell'app di collaboration. Significa che sono esenti dal problema il centro download ufficiale di Zoom, l'App Store di Apple e il Play Store di Google.

Chi preleva il pacchetto di installazione da fonti non ufficiali potrebbe scaricare un file ZoomInstaller.exe. Contiene sia il programma di installazione di Zoom, sia il RAT RevCode WebMonitor, un trojan di accesso remoto. Quando esegue ZoomInstaller.exe, genera una copia di sé stesso denominata Zoom.exe e il processo notepad.exe per eseguire Zoom.exe.

Dato che la versione di Zoom scaricata è perfettamente funzionante (è la 4.6) gli utenti non sospettano che nasconda qualche problema. Tuttavia, da qual momento gli attaccanti possono controllare i dispositivi e spiare gli utenti tramite keylogging, streaming webcam o schermate.
zoomLa backdoor si aggancia all'URL dabmaster [.] Wm01 [.] ed esegue comandi impartiti da remoto da un cyber criminale. Fra questi l'aggiunta, l'eliminazione e la modifica di file (anche del registro), l'avvio, la sospensione e la terminazione di processi e servizi. Il RAT può anche passare all'aggressore informazioni su hardware, software e driver. L'aspetto più inquietante è che il cyber criminale può ottenere istantanee scattate con la webcam e registrazioni audio.

La campagna, appena scoperta, assomiglia a un'altra individuata a inizio aprile che ha sfruttato gli installer di Zoom per installare un miner di criptovalute sui dispositivi vittime. I ricercatori allertano circa il fatto che il comportamento di questa campagna di malware è molto comune. Ci sono molte varianti di malware che si nascondono in applicazioni legittime.

Appreso del problema, Zoom esorta i clienti a scaricare l'applicazione solo attraverso i canali di distribuzione legittimi. Trend Micro ricorda inoltre di scaricare sempre l'ultima versione dell'app. In caso di Zoom, è disponibile l'aggiornamento 5.0. Non ultimo, è bene proteggere le sessioni con password, usare la funzione della sala d'attesa e configurare i controlli dell'host in maniera sicura.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 05/05/2020

Tag: malware zoom collaboration


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore