Un nuevo malware se propaga disfrazado de la aplicación Zoom

Un nuevo malware se propaga disfrazado de la aplicación Zoom

Cyble Research and Intelligence Labs (CRIL) estaban llevando a cabo ejercicios rutinarios de caza de amenazas, se localizó un tweet que decía la creación de numerosos sitios Zoom falsos, lo cual llamó la atención de los investigadores.

 

El objetivo de dichos sitios es infectar a los usuarios de Zoom con un malware disfrazado de aplicación Zoom. Luego de las investigaciones, los analistas de ciberseguridad descubrieron que Vidar Stealer se estaba propagando en dichos sitios, que conlleva a robar información de sus víctimas como:

  •         Información bancaria
  •         Contraseñas guardadas
  •         Direcciones IP
  •         Historial de navegación
  •         Credenciales de acceso
  •         Crypto-wallets

Sitios Zoom falsos
Hay una serie de sitios de Zoom falsos que en la actualidad usan los actores de amenazas para propagar la aplicación infectada. A continuación, se listan algunas direcciones URL. 

  •         zoom-download[.]host
  •         zoom-download[.]space
  •         zoom-download[.]fun
  •         zoomus[.]host
  •         zoomus[.]tech
  •         zoomus[.]website

Cuando la víctima descarga e instala la aplicación se genera una carpeta temporal con los siguientes archivos.

  •         ZOOMIN~1.EXE
  •         Decoder.exe

Imagen1.png

 

Infección


La inyección del malware en MSBuild.exe le posibilita de recuperar las direcciones IP relacionadas con las DLL y la información de configuración que se alberga ahí.

 

Luego el malware recibe los datos de configuración de los servidores de comando y control, así como las DLL. Para eliminarse del dispositivo de la víctima, el malware utiliza los siguientes parámetros de comandos

  •         C:\Windows\System32\cmd.exe” /c taskkill /im MSBuild.exe /f & timeout /t 6 & del /f /q
  •         “C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe” & del C:\PrograData\*.dll & exit

Imagen 02 – MSBuild.exe.

 

 

 Recomendaciones

 

 A continuación, se mencionan algunas recomendaciones que podemos seguir para no descargar la aplicación de Zoom infectada.

 

  •         Evitar el uso de sitios web como Warez/Torrent para descargar aplicaciones.
  •         Asegúrese de que su contraseña sea segura. 
  •         Asegúrese de implementar la autenticación multifactor
  •         Es fundamental usar un programa antivirus de buena reputación en todos los dispositivos que conecte a Internet.
  •         Se sugiere no abrir enlaces o archivos adjuntos de correspondencia electrónico que no sean de confianza sin comprobar primero que los enlaces y archivos adjuntos son auténticos.
  •         Concientizar a los empleados sobre manejo seguro de la información, ya sea correos electrónicos de pishing y las URL que no son de confianza.
  •         Bloquear las URL para evitar que el malware se propague

 

Canal de Denuncias

Ingrese a este enlace para denunciar cualquier actividad de la que haya podido ser testigo o tenga alguna sospecha de comisión de un delito relacionado a corrupción.