Phát hiện Cryptominer có sẵn bên trong bộ cài Zoom

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi Sugi_b3o, 09/04/20, 09:04 AM.

  1. Sugi_b3o

    Sugi_b3o Moderator Thành viên BQT

    Tham gia: 30/08/16, 10:08 AM
    Bài viết: 349
    Đã được thích: 273
    Điểm thành tích:
    63
    Gần đây, có thể mọi người luôn thấy Zoom được nhắc đến nhiều trên các mặt báo, không chỉ vì ứng dụng này đang rất phổ biến, mà còn bởi những vấn đề an ninh mạng của nó. Cho dù Zoom cố gắng để giải quyết các rắc rối và lỗ hổng của mình, họ cũng khó có thể ngăn chặn việc hacker tìm mọi cách khai thác hoặc lợi dụng sự phổ biến của các ứng dụng nổi tiếng. Đặc biệt, trong ngữ cảnh phải cách ly vì dịch COVID-19, một ứng dụng hội nghị truyền hình có số lượng 200 triệu người dùng hằng ngày, như Zoom, là miếng mồi ngon của tội phạm mạng. Hacker đã xây dựng sẵn các chương trình cài đặt Zoom giả mạo, trong đó chèn thêm một số chương trình đào coin (Cryptominer) để khai thác người dùng.

    [​IMG]

    Trong một nghiên cứu của mình, các nhà nghiên cứu bảo mật Trend Micro cho biết hacker đã tải về các trình cài đặt Zoom rồi “tiêm” vào đó file malware độc hại, chương trình đào tiền ảo. Giải thích nôm na là hacker đã đóng gói một lần nữa trình cài đặt zoom sau khi đã cài mã độc vào đó, rồi tung lên mạng trở lại. Có thể nói, nếu người dùng tải ứng dụng Zoom từ các nguồn không chính thống, các trang web kiểu third-party, thì khả năng dính mã độc là cực cao.


    [​IMG]
    Các tệp thực thi Cryptominer được đính kèm vào Zoom
    Phần mềm độc hại AutoIt đã biên dịch Trojan.Win32.MOOZ.THCCABO thả rất nhiều tệp vào thiết bị người dùng, hầu hết đều mang Coinminer. Các tệp được nhúng vào bao gồm, bộ lập lịch tác vụ và trình cài đặt Zoom hợp pháp cho phiên bản 4.4.0.0. Mã độc tập hợp nhiều chi tiết khác nhau từ thiết bị endpoint liên quan đến hệ điều hành, GPU, CPU, bộ điều khiển video và bộ xử lý. Hơn nữa, nó cũng kiểm tra hệ thống về sự hiện diện của Microsoft SmartScreen, Windows Defender và một số giải pháp chống virus phổ biến khác. Nó cũng cố gắng trốn tránh phát hiện bằng cách tìm kiếm các công cụ giám sát khác. Sau khi phát hiện, Trend Micro đã thông báo đến Zoom về vấn đề này.

    [​IMG]
    Tiến trình con được sinh ra khi thực thi trình cài đặt Zoom
    Hiện đang có C&C đang share các bộ cài này
    • 2no(.)co/1IRnc
    • hxxps://2no(.)co/1O5aW

    Mã Hashes

    SHA-256 Trend Micro Pattern Detection
    • d65e8a784c2ba0d9f7a029e1817b78b31324fb8c988e0467fd693b0efd890756 (Installer) Trojan.Win32.MOOZ.THCCABO
    • Troj.Win32.TRX.XXPE50FFF034
    • 04b560d234e8706d5e43532e9e674ee54ed6f63d62795fb0e5776e23da7eb4d8 (64.exe payload) Coinminer.Win64.MOOZ.THCCABO N/A
    Chúng ta nên làm gì?
    • Chỉ tải zoom từ trang web chính thức của zoom https://zoom.us/download
    • Đặt mật khẩu cho meeting room
    • Cài đặt và thường xuyên cập nhật Anti-Virus
    • Ngăn chặn các C&C, blacklist các hashes
    Tham khảo nguồn:
    https://blog.trendmicro.com/trendla...into-a-coinminer-bundled-with-zoom-installer/
    https://latesthackingnews.com/2020/...-legit-zoom-installer-on-unofficial-websites/
     

    Các file đính kèm:

    Chỉnh sửa cuối: 09/04/20, 02:04 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat News #ID:2017
  2. WhiteHat News #ID:2017
  3. nǝıH
  4. DDos
  5. Thriuenug