Malware de control remoto empaquetado en instaladores de Zoom
Investigadores de TrendMicro han encontrado una familia de troyanos de control remoto (RAT) distribuidos junto con instaladores legítimos de Zoom.
El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.
Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.
En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.
Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:
La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.
Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.
Fuente: UnaAlDia
El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.
Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.
En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.
Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:
- Añadir, borrar o modificar ficheros e información del registro.
- Cerrar conexiones bajo demanda.
- Exfiltrar información sobre el software o el hardware de la máquina.
- Tomar capturas de la webcam del dispositivo.
- Grabar audio y pulsaciones de teclado.
- Iniciar, suspender o terminar procesos o servicios.
- Retransmitir en directo la pantalla de la víctima.
- Conectar o desconectar el WiFi.
- aswidagent.exe
- avastsvc.exe
- avastui.exe
- avgsvc.exe
- avgui.exe
- avp.exe
- bdagent.exe
- bdwtxag.exe
- dwengine.exe
- mpcmdrun.exe
- msmpeng.exe
- nissrv.exe
- ollydbg.exe
- procexp.exe
- procexp64.exe
- procmon.exe
- procmon64.exe
- windbg.exe
- Kernel-based Virtual Machine
- Microsoft Hypervisor
- Parallels Hypervisor
- VirtualBox
- VMware
- Xen Virtual Machine Manager
- Malware
- Sample
- Sandbox
La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.
Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.
#revcode #rat via @Bitly at:
https://bitly[.]com/31r0api
c2: barclaysb[.]wm01[.]to
hash 8a53427e1c76b904ef0daacf7c8a6ec1 on @mal_share
cc @benkow_ @Xylit0l @Anti_Expl0it @h3x2b @cocaman @0Btemos_BHS @fumik0_
Al parecer los instaladores de Zoom fraudulentos han estado distribuyéndose utilizando enlaces de Bit.ly: https://bitly[.]com/31r0api.
Una garantía para estar protegidos es descargar el software siempre de fuentes oficiales, en este caso https://zoom.us/download.
Fuente: UnaAlDia
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios