Zoom è una piattaforma di comunicazione cloud-based che può essere usata per conferenze audio e video, riunioni online, chat e collaborazioni online tramite sistemi mobile, desktop e telefonici. Ha registrato un drastico aumento di utenti attivi dall'inizio del 2020, dato dai milioni di dipendenti che adesso lavorano da casa, ma anche dall'impennata di utenti chiusi in casa che lo utilizzano per comunicare con amici e parenti: nell'intero 2019 l'aumento di utenti attivi fu di 1,99 milioni, ma dall'inizio del 2020 sono già circa 2,2 milioni i nuovi utenti. Ad ora Zoom ha quasi 13 milioni di utenti attivi.
Non sono però aumentati solo gli utenti di Zoom in questo periodo: i ricercatori di Check Point research hanno registrato anche una vera e propria impennata di registrazioni di domini il cui nome include la parola "Zoom". Nulla di inaspettato, va detto, dato che è abitudine comune dei cyber attaccanti cercare di cavalcare trend, che siano software e piattaforme o tematiche di grande risalto per l'opinione pubblica. I dati parlano chiaro:
"Dall'inizio dell'anno, sono 1700 i nuovi domini registrati contenenti la parola Zoom. Il 25% è stato registrato la scorsa settimana. Il 4% di questi già è stato analizzato e mostra caratteristiche sospette" dicono i ricercatori
 |
| Fonte: Check Point Research |
Alcuni di questi domini permettono il download un'esegubilie fake di Zoom: il nome di questo file varia, ma segue lo schema zoom-us-zoom_##########.exe. Una volta lanciato esegue la PUA Install Core che, a sua volta, installa sul dispositivo dell'utente applicazioni indesiderate di terze parti o malware, a seconda delle finalità che si sono posti gli attaccanti. InstallCore è segnalata come applicazione potenzialmente indesiderata da molte soluzioni di sicurezza perché produce vari effetti negativi sul sistema: disabilita gli User Access Control (UAC), aggiunge file allo startup, installa estensioni sui browser, modifica le impostazioni e configurazioni dei browser.
Altre ricerche hanno invece individuato una tipologia differente di infezione: in questo caso Zoom viene usato come copertura per installare malware della famiglia Neshta che, tra le varie funzioni, ha anche quella di garantirsi la persistenza sul sistema e installare una backdoor.
Non solo malware: l'alert dell'FBI
La situazione intorno a Zoom si è fatta così accesa che l'FBI ha diramato un alert riguardo ad un altro problema, quello delle intrusioni di sconosciuti durante le videoconferenze organizzate con Zoom. Dato che Zoom è stato adottato in molte scuole per la didattica a distanza, l'FBI riporta due incidenti occorsi ad altrettante scuole per mettere in guardia quelle istituzioni scolastiche che hanno optato per questa piattaforma. In dettaglio, durante una lezione online tenuta da una scuola superiore nel Massachusetts, uno sconosciuto rimasto non identificato ha preso parte alla videoconferenza minacciando l'insegnante, urlando il suo indirizzo di casa e offendendo i partecipanti. Qualche giorno dopo, sempre nel Massachusetts, uno sconosciuto ha mostrato durante una teleconferenza alcuni tatuaggi e materiali di propaganda nazista. In altri casi invece i bambini di alcune scuole primarie hanno visto comparire sui propri schermi materiale pornografico e pedopornografico mostrato da misteriosi partecipanti.
L'FBI ha invitato quindi scuole e aziende che utilizzano Zoom a non rendere pubblici metting e classrom, mantenendo privati gli eventi, proteggendoli con password o usando la "waiting room" per vagliare i partecipanti. Inoltre ha specificato di impostare le opzioni di condivisione dello schemo su "Host Only" e di mantenere aggiornato il software di Zoom all'ultima versione, dato che nel Gennaio 2020 sono state corrette molte vulnerabilità.
Nessun commento:
Posta un commento