Malware de control remoto empaquetado en instaladores de Zoom

to (RAT) distribuidos junto con instaladores legítimos de Zoom

El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.

Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.

En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.

Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:

Añadir, borrar o modificar ficheros e información del registro.
Cerrar conexiones bajo demanda.
Exfiltrar información sobre el software o el hardware de la máquina.
Tomar capturas de la webcam del dispositivo.
Grabar audio y pulsaciones de teclado.
Iniciar, suspender o terminar procesos o servicios.
Retransmitir en directo la pantalla de la víctima.
Conectar o desconectar el WiFi.

Para asegurar su persistencia se instala el fichero «Zooom.vbs» en la carpeta de inicio del usuario, lo que permite la ejecución del malware al inicio del sistema. Siempre y cuando no se detecte ningún indicio de que hay un analista intentando descubrir sus mecanismos. Para ello comprueba la presencia de procesos como:

aswidagent.exe
avastsvc.exe
avastui.exe
avgsvc.exe
avgui.exe
avp.exe
bdagent.exe
bdwtxag.exe
dwengine.exe
mpcmdrun.exe
msmpeng.exe
nissrv.exe
ollydbg.exe
procexp.exe
procexp64.exe
procmon.exe
procmon64.exe
windbg.exe

Y finaliza su ejecución en caso de encontrar alguno. No solo eso, también se comprueba si el entorno en el que se está ejecutando se trata de una máquina virtual:

Kernel-based Virtual Machine
Microsoft Hypervisor
Parallels Hypervisor
VirtualBox
VMware
Xen Virtual Machine Manager

O si encuentra ficheros de nombre similar a alguno de los siguientes:

Malware
Sample
Sandbox

Todo esto complica el análisis a un experto y lo hace indetectable para el usuario con menos experiencia.

La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.

Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.

#revcode #rat via @Bitly at:

https://bitly[.]com/31r0api

c2: barclaysb[.]wm01[.]to

hash 8a53427e1c76b904ef0daacf7c8a6ec1 on @mal_share

cc @benkow_ @Xylit0l @Anti_Expl0it @h3x2b @cocaman @0Btemos_BHS @fumik0_ pic.twitter.com/0nPfGfcsmX

— James (@James_inthe_box) February 4, 2020

Al parecer los instaladores de Zoom fraudulentos han estado distribuyéndose utilizando enlaces de Bit.ly: https://bitly[.]com/31r0api.

Una garantía para estar protegidos es descargar el software siempre de fuentes oficiales, en este caso https://zoom.us/download

to en Fuente>