Um Trojan disfarçado de App Zoom Cloud Meeting foi identificado há dois dias e, uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de cripto mining – mineração de moedas criptografadas. Trata-se de uma ameaça evasiva que deixa poucos vestígios de sua ação sobre o dispositivo, informa a equipe do centro de monitoração de ameaças SonicWall Capture Labs.
Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do COVID-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.
Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”, destaca.
Ciclo de infecção
Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer. Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:
· %Temp%\Zoominstaller.exe (instalador legítimo)
· %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)
Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.
Enquanto isso, o malware adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa criando um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor ao configurar o ambiente do proxy.
Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:
Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.
A SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. E ressalta a importância dos usuários serem sempre vigilantes e cautelosos ao instalar programas de software, particularmente se não tiver certeza da fonte.
