¿En que podemos ayudarte?


Los hackers aprovechan la popularidad de Zoom para introducir malware


Los hackers aprovechan la popularidad de Zoom para introducir malware

30-03-2020


Los atacantes intentan aprovechar la creciente base de usuarios de Zoom desde que comenzó el brote de COVID-19 al registrar cientos de nuevos dominios con temas de Zoom con fines maliciosos.

La compañía de software de videoconferencia Zoom ofrece a sus clientes una plataforma de comunicación basada en la nube que se puede utilizar para conferencias de audio y video, reuniones en línea, así como chat y colaboración a través de sistemas móviles, de escritorio y telefónicos.


Los hackers aprovechan la popularidad de Zoom para introducir malware

La compañía ha visto un aumento drástico de nuevos usuarios activos mensuales desde principios de 2020, ya que millones de empleados ahora trabajan desde casa, agregando aproximadamente 2.22 millones de usuarios nuevos en lo que va del año, mientras que solo se agregaron 1.99 millones hasta 2019.

Los hackers aprovechan la popularidad de Zoom para introducir malware

En total, Zoom ahora tiene más de 12,9 millones de usuarios activos mensuales, y los analistas de Bernstein Research del mes pasado, observaron un crecimiento de usuarios de alrededor del 21%, como informó CNBC.



Cientos de nuevos dominios Zoom registrados desde principios de 2020 "Durante las últimas semanas, hemos sido testigos de un aumento importante en los registros de nuevos dominios con nombres que incluyen 'Zoom', que es una de las plataformas de comunicación por video más comunes en todo el mundo", dice un informe de Check Point Research. Este es un resultado esperado al ver que los actores de amenazas siempre están tratando de explotar las tendencias y plataformas más populares como parte de sus ataques en curso, como se hizo evidente por el gran aumento de campañas maliciosas con temática de coronavirus detectadas últimamente. "Desde el comienzo del año, se registraron más de 1700 dominios nuevos y el 25% de ellos se registraron la semana pasada. De estos dominios registrados, se encontró que el 4% contiene características sospechosas".Los investigadores también descubrieron archivos maliciosos utilizando un esquema de nombres zoom-us-zoom _ ##########.exe que, cuando se ejecuta, lanzará un instalador InstallCore que intentará instalar aplicaciones de terceros potencialmente no deseadas o maliciosas cargas útiles según los objetivos finales de los atacantes.InstallCore está marcado como una aplicación potencialmente no deseada (PUA) o un programa potencialmente no deseado (PUP) por varias soluciones de seguridad y, en ocasiones, deshabilitará el Control de acceso de usuario (UAC), agregará archivos para iniciar al inicio, instalará extensiones de navegador y meterse con la configuración y la configuración de los navegadores. InstallCore PUA también estaba siendo camuflado como un instalador de Microsoft Teams, con los atacantes empleando el esquema de nombres microsoft-teams_V # mu # D _ ##########.exe para ocultar su uso malicioso.Check Point también notó que los piratas informáticos están utilizando otras plataformas de colaboración en línea, como Google Classroom y Microsoft Teams, como parte de posibles intentos de explotar a sus usuarios."Se han descubierto nuevos sitios web de phishing para cada aplicación de comunicación líder, incluido el sitio web oficial aula.google.com, que fue suplantado por googloclassroom \ .com y googieclassroom \ .com", encontraron los investigadores. Otros investigadores han visto a usuarios de Zoom infectados con el archivo Neshta que infecta el virus de puerta trasera, una variedad de malware conocida por recopilar información sobre aplicaciones instaladas actualmente, ejecutar programas y cuentas de correo electrónico SMTP y entregarlas a sus operadores. No se sabe si estos usuarios ya tenían esta infección y sus clientes de Zoom se infectaron después de ser descargados o si descargaron una versión ya infectada de un sitio web. "Cuando se utiliza una marca conocida en un sitio web, la intención de los actores maliciosos es generalmente esconderse entre otros sitios web legítimos y atraer a los usuarios suplantando el sitio web original o un servicio relacionado y obteniendo las credenciales del usuario, información personal o detalles de pago". Check Point le dijo a BleepingComputer."Las infecciones de malware generalmente ocurren a través de correos electrónicos de phishing con enlaces o archivos maliciosos. El malware real utilizado puede cambiar en función de las capacidades y objetivos de los atacantes". Zoom: problemas de privacidad y seguridad Últimamente, la plataforma de colaboración en línea de Zoom ha tenido sus propios problemas, y los desarrolladores tuvieron que corregir una vulnerabilidad en enero que podría haber hecho posible que un actor de amenazas identificara y se uniera a reuniones de Zoom activas y sin protección. Hace unos días, Zoom también anunció que había decidido eliminar el SDK de Facebook (Kit de desarrollo de software) de la aplicación Zoom iOS después de que Motherboard informara que recopilaba y enviaba información del dispositivo a los servidores de Facebook. "La información recopilada por el SDK de Facebook no incluía información y actividades relacionadas con reuniones tales como asistentes, nombres, notas, etc., sino que incluía información sobre dispositivos como el tipo y la versión del SO móvil, la zona horaria del dispositivo, el SO del dispositivo , modelo de dispositivo y operador, tamaño de pantalla, núcleos de procesador y espacio en disco ", dijo Zoom. El año pasado, Zoom también tuvo que lidiar con otra vulnerabilidad de seguridad (1, 2) que permitió a los piratas informáticos ejecutar código de forma remota en Mac donde la aplicación se desinstaló a través de una URL de inicio creada con fines malintencionados. Un defecto de seguridad diferente (1, 2, 3) también parcheado el año pasado habría permitido a los atacantes remotos obligar a los usuarios de Windows, Linux y macOS a unirse a las videollamadas con sus cámaras de video activadas por la fuerza.



 
Por: Totalsec
 
Totalsec
 



Facebook
   


¿CUÁL ES TU OPINIÓN?

COMENTARIOS





(*) Campos Obligatorios





Recomendados


Categorías

    Articulos de interés
    Alertas
    Boletines

Entradas anteriores


A NUESTRO BLOG

SUSCRÍBETE


Para recibir nuestros boletínes por correo electrónico.




Cancelar suscripción a Totalnews.