Sono stati scoperti due malware camuffati da finti installer di Zoom che, una volta attivati nei PC Windows delle vittime, installano rispettivamente una backdoor che permette ai criminal hacker di eseguire routine dannose in remoto e una botnet che trasforma il sistema target in uno zombie della rete criminale Devil Shadow.
Così facendo, i criminal hacker riescono ad intromettersi nelle videoconferenze e a spiare le proprie vittime in vere e proprie campagne di cyber spionaggio.
I due falsi installer non provengono, ovviamente, dai canali di distribuzione ufficiali di Zoom e sono facilmente riconoscibili in quanto si presentano con dimensioni significativamente più grandi rispetto a quelle del legittimo installer della nota app di videoconferenza.
A confronto le dimensioni dei due finti installer di Zoom con quello ufficiale. I suffissi “ZAPIZ”, “DEVILSHADOW” e “legit” sono state aggiunte solo per identificare i singoli file.
La scoperta è stata fatta dai ricercatori di sicurezza di Trend Micro secondo i quali i criminal hacker potrebbero approfittare del generale allentamento nelle misure di restrizione per il contrasto alla pandemia di Covid-19 per diffondere altri malware utilizzando finti installer di altre famose app di videoconferenza.
Indice degli argomenti
Finti installer di Zoom: ecco come si attiva la backdoor
L’installer malevolo che attiva la backdoor nei computer della vittima contiene al suo interno alcuni file criptati che, una volta avviata l’installazione del finto Zoom, vengono decodificati e archiviati nella cartella %User Temp%Zoom Meetings/Zoom Meetings/5.0.1/setup.exe e utilizzati per l’esecuzione del codice malevolo.
Dall’analisi del campione malevolo i ricercatori hanno scoperto che la prima azione della catena infettiva del malware consiste nel killare tutti i processi relativi ai servizi di accesso remoto in esecuzione sulla macchina target.
Subito dopo, viene aperta la porta 5650 per ottenere l’accesso remoto al sistema infetto mediante il protocollo TCP (Transmission Control Protocol).
Vengono quindi create quattro chiavi di registro necessarie per la configurazione automatica della routine malevola associata al malware. Le stringhe, infatti, contengono configurazioni e valori utilizzati per attivare il collegamento remoto con il server di comando e controllo (C&C) e notificare sia l’avvenuto furto delle credenziali dell’utente sia che la macchina infetta è pronta per l’accesso da remoto e per ricevere comandi a distanza.
Infine, il malware eseguirà la versione legittima del programma di installazione di Zoom contenuta all’interno del finto installer per non destare sospetti nella vittima.
Finti installer di Zoom: ecco come si attiva la botnet
Molto più complessa la catena infettiva utilizzata per trasformare il computer Windows delle vittime in uno zombie della botnet Devil Shadow.
Intanto, il finto installer è in realtà un file command identificato come pyclient.cmd che, se eseguito, consente di impartire comandi malevoli sul sistema compromesso.
Parallelamente a questo file, il payload del malware esegue anche l’archivio autoestraente cmd_shell.exe contenente un file di testo new_script.txt con l’indirizzo del server C&C, madleets.ddns.net, e il file shell.bat che è in realtà una copia del programma di installazione di Zoom in versione 5.0.1 (al momento in cui scriviamo, sul sito ufficiale di Zoom è disponibile al download la versione 5.0.3 dell’app di videoconferenza) e che, anche in questo caso, verrà installata mentre è in corso la catena infettiva del malware per non destare sospetti nell’utente.
Infine, viene eseguito il componente dropped boot-startup.vbs che serve al malware per ottenere la persistenza nel sistema compromesso.
A questo punto, il malware è attivo nel sistema e inizierà a compiere una serie di azioni malevoli. Mediante l’eseguibile screenshot.exe catturerà le schermate del desktop dell’utente e delle finestre attive, mentre con Webcam.exe effettuerà una scansione del sistema alla ricerca di eventuali webcam collegate e inizierà ad effettuare registrazioni video ambientali.
È così che i criminal hacker riescono a spiare le proprie vittime intromettendosi nelle riunioni di lavoro e registrando audio e video ambientali.
Il malware invierà quindi tutte le informazioni raccolte al suo server C&C ogni 30 secondi.
Come difendersi da questa nuova minaccia
Al momento non esistono ancora soluzioni di sicurezza per difendersi da queste nuove minacce.
Gli utenti che lavorano in smart working possono però mettere in pratica queste semplici best practice per mitigare il rischio di attacco ed evitare così di trasformare il proprio PC in un passe-partout che consentirebbe ai criminal hacker di accedere alle infrastrutture aziendali e al patrimonio informativo:
- scaricare solo applicazioni e software da store e piattaforme ufficiali. In particolare, per evitare l’infezione da parte dei falsi installer di Zoom è importante scaricare l’app di videoconferenza da fonti affidabili come il Google Play Store e l’Apple App Store o dal sito ufficiale.
- È importante, inoltre, proteggere le applicazioni di videoconferenza e il sistema operativo installando sempre gli ultimi aggiornamenti disponibili e utilizzando i vari sistemi di sicurezza come le password di accesso alle riunioni online.
