Instaladores com zoom falso instalam backdoors em sistemas Windows

Zoom Installers

Os hackers aproveitam vários aplicativos de teleconferência, como Ampliação, para infectar os sistemas das vítimas com malware. Pesquisadores de segurança de Trend Micro descobriram dois exemplos de malware que infectam sistemas Windows e são apresentados como Instaladores de zoom. Instaladores maliciosos do Zoom não são distribuídos pelos canais oficiais de distribuição.

Instaladores de False Zoom

Um desses instaladores falsos do Zoom instala um Porta dos fundos que permite que invasores adquiram acesso remoto ao computador Windows da vítima. O segundo é o Botnet Devil Shadow.

O primeiro instalador malicioso é muito semelhante à versão oficial. Contém arquivos criptografados que descriptografam malware.

O malware “mata” os utilitários remotos atuais durante a instalação e abre a porta TCP 5650 para obter acesso remoto ao sistema infectado.

janelas

Além do que, além do mais, executando um instalador oficial de zoom para não levantar suspeitas.

O segundo instalador falso do Zoom está relacionado a Botnet da sombra do diabo. A infecção começa com o instalador mal-intencionado, com um arquivo chamado pyclient.cmd e contém comandos maliciosos.

E, neste caso, os hackers incluem uma cópia do instalador oficial do Zoom para enganar as vítimas. O instalador do aplicativo violado desenvolve arquivos e códigos maliciosos.

O malware envia informações para o C&C que são coletadas a cada 30 segundos quando o computador é ligado. Mais detalhes sobre instaladores falsos podem ser encontrados aqui.

Em outra campanha de hackers, os atacantes usaram instaladores falsos do Zoom para infectar vítimas com WebMonitor RAT. A infecção começa com o arquivo malicioso ZoomIntsaller.exe de fontes maliciosas.

Devido à pandemia de coronavírus, muitas empresas em todo o mundo solicitaram que seus funcionários trabalhassem em casa. Essa nova situação aumentou o uso de aplicativos de teleconferência, algo que não passou despercebido pelos criminosos cibernéticos.

No entanto, existem alguns sinais mostrando-nos que algo está errado. Por exemplo, os instaladores do Zoom acima hospedado em sites suspeitos e não em lojas oficiais de aplicativos, como a Play Store, a App Store ou o Zoom Download Center. Outro sinal é que Instaladores maliciosos instalam e executam o “instalador legal do Zoom” mais tarde que o programa real. As versões maliciosas levam mais tempo para serem executadas, após a extração de dados maliciosos antes da execução do Zoom.