Phát hiện Cryptominer có sẵn bên trong bộ cài Zoom

Gần đây, có thể mọi người luôn thấy Zoom được nhắc đến nhiều trên các mặt báo, không chỉ vì ứng dụng này đang rất phổ biến, mà còn bởi những vấn đề an ninh mạng của nó. Cho dù Zoom cố gắng để giải quyết các rắc rối và lỗ hổng của mình, họ cũng khó có thể ngăn chặn việc hacker tìm mọi cách khai thác hoặc lợi dụng sự phổ biến của các ứng dụng nổi tiếng. Đặc biệt, trong ngữ cảnh phải cách ly vì dịch COVID-19, một ứng dụng hội nghị truyền hình có số lượng 200 triệu người dùng hằng ngày, như Zoom, là miếng mồi ngon của tội phạm mạng. Hacker đã xây dựng sẵn các chương trình cài đặt Zoom giả mạo, trong đó chèn thêm một số chương trình đào coin (Cryptominer) để khai thác người dùng.



Trong một nghiên cứu của mình, các nhà nghiên cứu bảo mật Trend Micro cho biết hacker đã tải về các trình cài đặt Zoom rồi “tiêm” vào đó file malware độc hại, chương trình đào tiền ảo. Giải thích nôm na là hacker đã đóng gói một lần nữa trình cài đặt zoom sau khi đã cài mã độc vào đó, rồi tung lên mạng trở lại. Có thể nói, nếu người dùng tải ứng dụng Zoom từ các nguồn không chính thống, các trang web kiểu third-party, thì khả năng dính mã độc là cực cao.

Các tệp thực thi Cryptominer được đính kèm vào Zoom
​

Phần mềm độc hại AutoIt đã biên dịch Trojan.Win32.MOOZ.THCCABO thả rất nhiều tệp vào thiết bị người dùng, hầu hết đều mang Coinminer. Các tệp được nhúng vào bao gồm, bộ lập lịch tác vụ và trình cài đặt Zoom hợp pháp cho phiên bản 4.4.0.0. Mã độc tập hợp nhiều chi tiết khác nhau từ thiết bị endpoint liên quan đến hệ điều hành, GPU, CPU, bộ điều khiển video và bộ xử lý. Hơn nữa, nó cũng kiểm tra hệ thống về sự hiện diện của Microsoft SmartScreen, Windows Defender và một số giải pháp chống virus phổ biến khác. Nó cũng cố gắng trốn tránh phát hiện bằng cách tìm kiếm các công cụ giám sát khác. Sau khi phát hiện, Trend Micro đã thông báo đến Zoom về vấn đề này.

Tiến trình con được sinh ra khi thực thi trình cài đặt Zoom
​

Hiện đang có C&C đang share các bộ cài này

• 2no(.)co/1IRnc
• hxxps://2no(.)co/1O5aW

Mã Hashes

SHA-256 Trend Micro Pattern Detection

• d65e8a784c2ba0d9f7a029e1817b78b31324fb8c988e0467fd693b0efd890756 (Installer) Trojan.Win32.MOOZ.THCCABO
• Troj.Win32.TRX.XXPE50FFF034
• 04b560d234e8706d5e43532e9e674ee54ed6f63d62795fb0e5776e23da7eb4d8 (64.exe payload) Coinminer.Win64.MOOZ.THCCABO N/A

Chúng ta nên làm gì?

• Chỉ tải zoom từ trang web chính thức của zoom https://zoom.us/download
• Đặt mật khẩu cho meeting room
• Cài đặt và thường xuyên cập nhật Anti-Virus
• Ngăn chặn các C&C, blacklist các hashes

Tham khảo nguồn:
https://blog.trendmicro.com/trendla...into-a-coinminer-bundled-with-zoom-installer/
https://latesthackingnews.com/2020/...-legit-zoom-installer-on-unofficial-websites/