Abbiamo parlato spesso di Zoom, l'app per le videoconferenze che ha registrato un boom improvviso, forse inaspettato ai suoi stessi sviluppatori, in piena epidemia Covid. Ne abbiamo parlato a causa dei bug e della scarsa consapevolezza nell'utilizzo che ne hanno dimostrato gli utenti, fattori che hanno reso questa applicazione un vero e proprio ghiotto bersaglio per i cyber attaccanti, tra dati rubati e accessi illegittimi a conferenze (per approfondire consigliamo di leggere qui e qui).
Avevamo però segnalato anche un diverso modo di abusare di Zoom, ovvero quello di aprire domini fake sui quali attirare utenti per poi convincerli a installare versioni fake e dannose dell'app. Qualche giorno fa sono state individuate online da alcuni ricercatori di sicurezza due installer fake di Zoom che integrano l'installer ufficiale con codice dannoso: codice dannoso che consente agli attaccanti di prendere il controllo da remoto della macchina. Uno di questi riguarda l'installazione della botnet Devil Shadow sul dispositivo.
C'è un indizio che balza subito agli occhi, una stranezza: gli eseguibili fake sono molto più pesanti dell'eseguibile ufficiale di Zoom (il cui download è possibile dal sito https://zoom.us/download). Il perchè è semplice: a fianco dell'installer ufficiale questi installer fake portano con se una molteplicità di file che sono necessari ad avviare la routine dannosa.
L'installer fake e la backdoor
Uno degli installer individuati, come detto, ha funzionalità di backdoor. Rispetto all'eseguibile legittimo disponibile sul sito ufficiale di Zoom, le proprietà del file dannoso sono piuttosto simili, il che rende più complessa la possibilità per l'utente di rendersi conto del rischio imminente. L'installer dannoso contiene però una lunga serie di file criptati, che vengono decriptati al momento dell'esecuzione dell'eseguibile: una maniera di cercare di evadere l'individuazione preventiva da parte di eventuali soluzioni di sicurezza che dovessero essere presenti sulla macchina.
Le analisi hanno mostrato come questo campione malware termini tutte le utility per la gestione da remoto al momento dell'installazione, quindi apra la porta 5650 e il protocollo di trasmissione TCP: ottiene così l'accesso da remoto al sistema infetto. Al contempo aggiunge 4 voci di registro, che sembrano essere configurazioni necessarie per attivare la routine dannosa. Al termine di queste operazioni avvia la versione legittima di Zoom per evitare che l'utente possa insospettirsi.
L'installer fake e la botnet Devil Shadow
In questo caso l'installer fake rende la macchina un nodo della botnet Devil Shadow: il file dannoso si chiama "cmd_shell.exe" ed è un archivio auto estrante che contiene indicazioni per instaurare comunicazioni col server di comando e controllo, tutto il necessario per ottenere la persistenza sul sistema, ma anche una copia della versione legittima di Zoom, la v.5.0.1.
 |
| Fonte: trendmicro.com |
Oltre a queste funzionalità, il malware scarica un modulo aggiuntivo chiamato screenshot.exe, che esegue screenshot del desktop dell'utente e delle finestre attive. Webcam.exe esegue invece una scansione sul dispositivo in cerca di videocamere attive, quindi i ricercatori non escludono che il malware possa anche registrare video o scattare immagini dell'ambiente circostante. Anche in questo caso viene infine avviato l'installer legittimo di Zoom, così che l'utente non si insospettisca: il malware rimane attivo in background e ogni 30 secondi invia al proprio server C&C informazioni sulla macchina e sulle attività dell'utente.
Nel frattempo però la macchina è diventata un nodo della botnet Devil Shadow e verrà utilizzato senza richiedere alcuna permissione dell'utente per lanciare attacchi DDoS, per campagne di spam e altre attività dannose.
Tutto questo è un esperimento
E' paradossale, ma l'aumento costante di software legittimi che i cyber criminali collegano ai propri malware rende una tendenza precisa: nascondere codice dannoso entro software legittimi può consentire di aggirare i controlli di sicurezza e infiltrarsi in sistemi anche di alto valore come PC o server aziendali.
In pratica i cyber attaccanti stanno sperimentando, per capire come meglio nascondere codice dannoso entro app legittime e come affinare e rendere massimamente efficace il canale distributivo degli eseguibili fake.
Nessun commento:
Posta un commento