Falsos Instaladores do Zoom Infectam Usuários com o WebMonitor RAT
Com a atual pandemia do COVID-19, o uso do aplicativo Zoom disparou, à medida que mais e mais pessoas o usam para trabalhar e estudar em casa. O crescente interesse no produto atraiu muitos autores de ameaças, que buscam explorar vulnerabilidades no aplicativo Zoom para obter ganhos.
Uma das campanhas mais recentes que envolveram instaladores legítimos do Zoom aconteceu no final de abril. Assemelhando-se a uma campanha do início de abril que usou os instaladores do Zoom para impulsionar um minerador de criptomoedas, a campanha mais recente empurra um Trojan de Acesso Remoto (RAT), o WebMonitor do RevCode.
É importante notar que os instaladores falsos não vêm de fontes oficiais como o site dZoomda Loja de Applicativos da Apple ou da Loja do Google Play. Os pesquisadores de segurança suspeitam que os instaladores maliciosos do Zoom venham de sites de terceiros e campanhas de spam por email. Eles instalam a versão 4.6 do aplicativo Zoom, enquanto a versão 5.0 já foi lançada, solucionando problemas de segurança anteriores.
Mas a versão desatualizada não é o problema real aqui, pois o aplicativo é legítimo. Os hackers apenas o baixaram, extraíram e empacotaram-no no seu instalador, juntamente com o WebMonitor RAT, que pode infectar silenciosamente os sistemas das vítimas, concedendo aos invasores acesso a informações valiosas.
O WebMonitor RAT
A história do WebMonitor RAT é interessante por si só. Ele foi desenvolvido como um produto comercial por uma empresa sueca chamada RevCode, alegando ser uma solução legítima de teste de segurança. Enquanto isso, estava amplamente disponível para venda em vários fóruns da Dark Web, comercializado como malware, por um preço que varia de 14,99 a 29,99 €.
O que é interessante notar aqui é que os registros do Ratsit AB, um serviço sueco de informações de crédito, indicam que o RevCode é de propriedade de Alex Yücel, um morador sueco de 30 anos. Em 2015, um morador sueco de 25 anos chamado Alex Yucel foi condenado por um tribunal dos EUA a 57 meses de prisão, depois de se declarar culpado de acusações de distribuição do Blackshades RAT. Os registros da prisão, no entanto, indicam que ele foi libertado em novembro de 2016. O RevCode foi oficialmente registrado como uma empresa sueca em 2018, com as vendas do WebMonitor RAT em fóruns de hackers a partir de meados de 2017.
Uma rápida olhada nos recursos do WebMonitor pode nos dar uma idéia do motivo pelo qual ele foi classificado como malware pela maioria das empresas de anti-vírus. Primeiro, o WebMonitor tem uma opção que pode ser usada para suprimir qualquer caixa de notificação que possa aparecer quando estiver sendo instalada em um computador. O site da empresa da RevCode divulga a compatibilidade do software com todos os ''crypters'', um tipo de software usado pelos operadores de malware para evitar a detecção pelos programas anti-vírus.
Uma vez instalado em um computador, o WebMonitor RAT pode começar a espionar a vítima, recuperando senhas salvas, registro de chaves, captura de tela e transmissão de webcam em um local remoto. O WebMonitor RAT também pode ser usado para alterar dados do registro, obter informações de software e hardware, iniciar e suspender processos e serviços e permitir a execução automática do malware na inicialização do sistema.
Ficando Seguro
A atual pandemia do COVID-19 significou que muitas pessoas tiveram que começar a trabalhar com softwares com os quais talvez não estivessem familiarizados. Um conselho essencial é sempre usar canais oficiais e confiáveis ao baixar softwares como videoconferência ou aplicativos remotos da área de trabalho. Manter todos os seus programas atualizados também pode ajudar a corrigir vulnerabilidades conhecidas que os invasores podem explorar.
Como sempre, é recomendável que você tenha um software anti-vírus legítimo instalado no seu sistema.