Malware de control remoto empaquetado en instaladores de Zoom

Investigadores de TrendMicro han encontrado una familia de troyanos de control remoto (RAT) distribuidos junto con instaladores legítimos de Zoom.

El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.
Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.
En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.
Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:

• Añadir, borrar o modificar ficheros e información del registro.
• Cerrar conexiones bajo demanda.
• Exfiltrar información sobre el software o el hardware de la máquina.
• Tomar capturas de la webcam del dispositivo.
• Grabar audio y pulsaciones de teclado.
• Iniciar, suspender o terminar procesos o servicios.
• Retransmitir en directo la pantalla de la víctima.
• Conectar o desconectar el WiFi.

Para asegurar su persistencia se instala el fichero «Zooom.vbs» en la carpeta de inicio del usuario, lo que permite la ejecución del malware al inicio del sistema. Siempre y cuando no se detecte ningún indicio de que hay un analista intentando descubrir sus mecanismos. Para ello comprueba la presencia de procesos como:

• aswidagent.exe
• avastsvc.exe
• avastui.exe
• avgsvc.exe
• avgui.exe
• avp.exe
• bdagent.exe
• bdwtxag.exe
• dwengine.exe
• mpcmdrun.exe
• msmpeng.exe
• nissrv.exe
• ollydbg.exe
• procexp.exe
• procexp64.exe
• procmon.exe
• procmon64.exe
• windbg.exe

Y finaliza su ejecución en caso de encontrar alguno. No solo eso, también se comprueba si el entorno en el que se está ejecutando se trata de una máquina virtual:

• Kernel-based Virtual Machine
• Microsoft Hypervisor
• Parallels Hypervisor
• VirtualBox
• VMware
• Xen Virtual Machine Manager

O si encuentra ficheros de nombre similar a alguno de los siguientes:

• Malware
• Sample
• Sandbox

Todo esto complica el análisis a un experto y lo hace indetectable para el usuario con menos experiencia.
La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.

Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.

James @James_inthe_box

#revcode #rat via @Bitly at:

https://bitly[.]com/31r0api

c2: barclaysb[.]wm01[.]to

hash 8a53427e1c76b904ef0daacf7c8a6ec1 on @mal_share

cc @benkow_ @Xylit0l @Anti_Expl0it @h3x2b @cocaman @0Btemos_BHS @fumik0_

Al parecer los instaladores de Zoom fraudulentos han estado distribuyéndose utilizando enlaces de Bit.ly: https://bitly[.]com/31r0api.

Una garantía para estar protegidos es descargar el software siempre de fuentes oficiales, en este caso https://zoom.us/download.

Fuente: UnaAlDia