Investigadores recientemente descubrieron un ataque que carga malware en el instalador de la aplicación de videoconferencias Zoom, se trata del RevCode WebMonitor RAT. Muchas variantes de malware se hacen pasar por aplicaciones legítimas para no levantar sospechas. Pero en este caso en particular, los ciberdelincuentes cargaron instaladores legítimos de la app con el malware WebMonitor […]
Investigadores recientemente descubrieron un ataque que carga malware en el instalador de la aplicación de videoconferencias Zoom, se trata del RevCode WebMonitor RAT.
Muchas variantes de malware se hacen pasar por aplicaciones legítimas para no levantar sospechas. Pero en este caso en particular, los ciberdelincuentes cargaron instaladores legítimos de la app con el malware WebMonitor RAT, para luego liberar estos instaladores reempaquetados en sitios maliciosos.
El proceso comienza cuando el usuario descarga el archivo malicioso ZoomIntsaller.exe de fuentes maliciosas. Es decir, el archivo que contiene la combinación de un instalador de Zoom, no malicioso, y RevCode WebMonitor RAT.
Al ejecutar ZoomInstaller.exe, suelta una copia de sí mismo llamada ”Zoom.exe.” ZoomInstaller.exe abrirá el proceso notepad.exe para ejecutar ”Zoom.exe.”
El backdoor se conecta a la URL dabmaster [.] Wm01 [.] Y ejecuta comandos de un usuario malintencionado remoto, algunos de los cuales se enumeran a continuación.
También carga el archivo Zoom.vbs en la carpeta de inicio de usuario de Windows, para permitir la ejecución automática en cada inicio del sistema. Sin embargo, estos procesos no continuarán si detecta procesos conectados a ciertas herramientas de depuración o seguridad:
Termina solo cuando se ejecuta en los siguientes entornos virtuales:
También termina si encuentra un nombre de archivo similar a cualquiera de los siguientes:
Dado que el usuario descargó una versión legítima de la aplicación Zoom (4.6), no se levantaran muchas sospechas.
La observación inicial de la muestra arroja un comportamiento similar al malware Fareit. Sin embargo, una inspección adicional revela que en realidad se trata de RevCode WebMonitor RAT, que según los informes, ciertos grupos vendían en foros de piratería a mediados de 2017. La RAT permite a los actores de amenazas obtener el control de los dispositivos comprometidos y espiarlos mediante el registro de teclas, la transmisión de la cámara web o las capturas de pantalla. Encontramos una regla de YARA para esto en este hilo de Twitter.
El ejemplo recopila la siguiente información y la envía a través de HTTP POST a la URL hxxps: //213.188.152.96/recv7 [.] Php
. {BLOQUEADO} .96 / recv7.php:
Recientemente se descubrieron vulnerabilidades en algunos complementos del sistema de gestión de aprendizaje en línea (LMS) que varias organizaciones y universidades usan para ofrecer cursos de capacitación en línea a través de sus sitios web basados en WordPress.
Hoy en día y gracias a la tecnología podemos almacenar nuestra información de múltiples formas, la mayoría lo hacemos en la nube, pues es un medio ágil y al parecer bastante seguro, sin embargo, debemos darnos cuenta que la nube no lo es todo y si realmente queremos asegurar nuestros datos podemos utilizar otros medios […]