I ricercatori di Trend Micro hanno scoperto due file di malware che si presentano come programmi di installazione di Zoom – la popolare piattaforma di videoconferenza e collaborazione remota – modificati al fine di installare nel PC della vittima, quando decodificati, codice malware.
Questi falsi programmi dannosi di installazione non provengono dai canali di distribuzione dell’installazione ufficiale di Zoom.
Nel primo caso il file malware attiva una backdoor sul sistema che consente agli attaccanti di gestire il server di comando e controllo (C&C) ed eseguire azioni malevoli all’insaputa dell’utente, mentre nel secondo caso il finto file prevede l’installazione della botnet Devil Shadow nei dispositivi, quindi il computer viene trasformato in uno zombie, facendolo diventare parte della botnet.
Il malware in questione è programmato per:
- ottenere la persistenza sul sistema infetto, riattivandosi ad ogni accensione successiva;
- effettuare screenshot delle finestre attive e dei programmi in esecuzione;
- eseguire una scansione del sistema per individuare eventuali webcam collegate e, se presenti, utilizzarle per realizzare registrazioni audio e video ambientali;
- inviare al server di comando e controllo con cui comunica le informazioni rubate ogni 30 secondi.
Entrambi i file malevoli procedono anche all’installazione di Zoom v.5.0.1.
Questi installatori sono ospitati su siti web sospetti e non da marketplaces ufficiali come Play Store, App Store o il download center di Zoom, e ciò dovrebbe essere considerato un indicatore della loro pericolosità. Un altro segno osservabile è che i programmi di installazione dannosi rilasciano ed eseguono il falso “programma di installazione Zoom legittimo” più lentamente rispetto all’installazione Zoom ufficiale.
Le versioni dannose richiedono più tempo per essere eseguite poiché estraggono i componenti dannosi prima di eseguire Zoom.
È possibile che i criminali informatici traggano vantaggio anche da altre app di videoconferenza per raggruppare malware. Per questo motivo, stiamo monitorando attentamente altre piattaforme, routines e campioni per rilevare eventuali segni di manomissione e raggruppamento, si legge nella comunicazione dei ricercatori di Trend Micro.
Per evitare l’infezione da questi falsi programmi di installazione, scarica solo Zoom o qualsiasi applicazione da fonti attendibili, incluso Google Play Store, App Store di Apple. Zoom, diventato più popolare durante la pandemia di coronavirus per la sua facilità d’uso, continua ad aggiornare la piattaforma in risposta ai problemi divulgati.