Hackers aprovechan la popularidad de Zoom para difundir malware
Los atacantes intentan aprovechar la creciente base de usuarios de Zoom desde que comenzó el brote de COVID-19. Esto al registrar cientos de nuevos dominios con temas relacionados a Zoom con fines maliciosos.
La compañía de software de videoconferencia Zoom ofrece a sus clientes una plataforma de comunicación basada en la nube. Esta se puede utilizar para conferencias de audio y video, reuniones en línea, chat y colaboración a través de sistemas móviles, de escritorio y telefónicos.
La compañía ha visto un aumento drástico de nuevos usuarios activos mensuales desde el comienzo de 2020, ya que millones de empleados ahora trabajan desde casa. Se hna agregado aproximadamente 2.22 millones de nuevos solo este año, mientras que solo se agregaron 1.99 millones hasta 2019.
En total, Zoom ahora tiene más de 12.9 millones de usuarios activos mensuales, y analistas dijeron el mes pasado que vieron un crecimiento de usuarios. El crecimiento fue alrededor del 21% desde finales del año pasado, como informó CNBC.
Cientos de nuevos dominios Zoom registrados desde principios de 2020
“Durante las últimas semanas, hemos sido testigos de un aumento importante en los registros de nuevos dominios con nombres que incluyen ‘Zoom’. Zoom es una de las plataformas de comunicación por video más comunes en todo el mundo”, dice un informe de Check Point Research.
Este es un resultado esperado al ver que los actores de amenazas siempre están tratando de explotar las tendencias y plataformas más populares. Todo como parte de sus ataques en curso, como se hizo evidente por el gran aumento de campañas maliciosas con temática de coronavirus detectadas últimamente.
“Desde el comienzo del año, se registraron más de 1700 dominios nuevos y el 25% de ellos se registraron la semana pasada. De estos dominios registrados, se encontró que el 4% contiene características sospechosas”.
Los investigadores también descubrieron archivos maliciosos usando un esquema de nombres zoom-us-zoom _ ##########. exe que. Este cuando se ejecuta, lanzará un instalador InstallCore que intentará instalar aplicaciones de terceros potencialmente no deseadas o maliciosos payloads. Esto según los objetivos finales de los atacantes.
InstallCore está marcado como una aplicación potencialmente no deseada (PUA) o un programa potencialmente no deseado (PUP) por varias soluciones de seguridad. Por ello, en ocasiones, deshabilitará el Control de acceso de usuario (UAC), y agregará archivos para arrancar al inicio. Asimismo, instalará extensiones de navegador y cambiará con la configuración y los ajustes de los navegadores.
InstallCore PUA también se estaba camuflando como un instalador de Microsoft Teams. Aquí, los atacantes emplean el esquema de nombres microsoft-teams_V # mu # D _ ##########.exe para ocultar su uso malicioso.
Ataques a otras plataformas
Check Point también descubrió que los ciberdelincuentes también están utilizando otras plataformas de colaboración en línea. Por ejemplo, Google Classroom y Microsoft Teams, como parte de posibles intentos de explotar a sus usuarios.
“Se han descubierto nuevos sitios web de phishing para cada aplicación de comunicación popular. Entre estos incluido el sitio web oficial classroom.google.com, que fue suplantado por googloclassroom\.com y googieclassroom\.com”, según revelaron los investigadores.
Otros investigadores han visto a usuarios de Zoom afectados con el archivo Neshta que infecta un virus de puerta trasera.
No se sabe si estos usuarios ya tenían esta infección y sus clientes de Zoom se infectaron después de ser descargados. También cabe la posibilidad que descargaron una versión ya infectada de un sitio web.
Zoom problemas de privacidad y seguridad
Últimamente, la plataforma de colaboración en línea de Zoom ha tenido sus propios problemas, y los desarrolladores tuvieron que corregir una vulnerabilidad en enero. Esta vulnerabilidad podría haber hecho posible que un actor de amenazas identificara y se uniera a reuniones de Zoom activas y sin protección.
Hace unos días, Zoom también anunció que había decidido eliminar el SDK de Facebook (Kit de desarrollo de software) de la aplicación Zoom para iOS. Todo esto después de que Motherboard informara que recopilaba y enviaba información del dispositivo a los servidores de Facebook.
Una falla de seguridad diferente también parcheada el año pasado habría permitido a los atacantes remotos obligar a los usuarios a videollamadas. El objetivo lo lograban al activar por la fuerza las cámaras de video.
¿Al dia de hoy sigue habiendo vulnerabilidad en Zoom?