Trojan disfarçado de Zoom Cloud Meeting rouba criptomoedas

A SonicWall, empresa de segurança da informação que protege mais de 1 milhão de redes em todo o mundo, revela que os experts do centro de monitoração de ameaças SonicWall Capture Labs identificaram um Trojan disfarçado de App Zoom Cloud Meeting. Uma vez instalado no PC ou no smartphone do usuário, esse malware realiza operações de criptomining – mineração de moedas criptografadas.
Com isso, os criminosos digitais esperam explorar a popularidade do App de vídeo conferências na nuvem Zoom Cloud Meeting, um dos aplicativos mais utilizados no mundo desde o início da crise do Covid-19. Somente ao longo do mês de março, o App saltou de 10 milhões para 200 milhões de usuários em todo o mundo. A plataforma, especialmente em sua versão gratuita, tem se mostrado vulnerável a ataques, incluindo roubo de credenciais de usuários para comercialização de login e senha na Dark Web.

O malware disfarçado de Zoom Cloud Meeting é um software que, ao ser instalado no dispositivo digital do usuário, toma o controle desse equipamento e passa a usá-lo para realizar a mineração (roubo) de moedas criptografadas.
Para Arley Brogiato, diretor da SonicWall América Latina, é fundamental que os usuários acessem somente web sites e lojas de Apps oficiais, baixando Apps de fontes com idoneidade reconhecida. “É importante estar sempre vigilante e não cair na armadilha de instalar softwares de fontes duvidosas”.
Ciclo de infecção:
Esse Trojan é identificado pelo ícone do Zoom Cloud Meeting e tem a forma de um Autoit compiled installer.
Na execução, ele coloca um instalador de Zoom legítimo e um cryptominer nos seguintes diretórios:
· %Temp%\Zoominstaller.exe (instalador legítimo)
· %Appdata%\Roaming\Microsot\Windows\helper.exe (cryptominer)
Em seguida, executará o instalador de Zoom legítimo e uma janela aparecerá para avisar o usuário da instalação do programa.


Enquanto isso, ele adiciona helper.exe como uma tarefa programada ‘System Check’ e, em seguida, a executa.

Na execução de helper.exe, ele cria um diretório ‘Tor’ em %Appdata%\Roaming\Microsot\Windows\ folder e coloca ali os componentes de um cliente Tor.

Ele executa o cliente Tor executando “tor.exe” para configurar o ambiente do proxy usando seu próprio config.
Depois, ativa attrib.exe (um arquivo legítimo de sistema do windows) e o usa como cliente de mining, e inicia o mining através do proxy Tor local usando o seguinte comando:
Uma vez terminada uma sessão de mining, o diretório Tor é deletado e só será recriado em uma execução subsequente, deixando assim pouquíssima evidência de infecção.
Veja como se proteger dessa ameaça:
SonicWall aconselha seus usuários a usarem somente websites oficiais e de boa reputação como sua fonte de instaladores de software. Seja sempre vigilante e cauteloso ao instalar programas de software, particularmente se não tiver certeza da fonte.
SonicWall Capture Labs fornece proteção contra essa ameaça por meio da seguinte assinatura:
· GAV: Autoit.OLS_2 (Trojan)
Essa ameaça é também detectada pelas soluções endpoint SonicWALL Capture ATP w/RTDMI e Capture Client.
Serviço
www.sonicwall.com/pt-br