Instaladores de Zoom cargados con malware

Investigadores recientemente descubrieron un ataque que carga malware en el instalador de la aplicación de videoconferencias Zoom, se trata del RevCode WebMonitor RAT.

Muchas variantes de malware se hacen pasar por aplicaciones legítimas para no levantar sospechas. Pero en este caso en particular, los ciberdelincuentes cargaron instaladores legítimos de la app con el malware WebMonitor RAT, para luego liberar estos instaladores reempaquetados en sitios maliciosos.

El proceso comienza cuando el usuario descarga el archivo malicioso ZoomIntsaller.exe de fuentes maliciosas. Es decir, el archivo que contiene la combinación de un instalador de Zoom, no malicioso, y RevCode WebMonitor RAT.

Al ejecutar ZoomInstaller.exe, suelta una copia de sí mismo llamada »Zoom.exe.» ZoomInstaller.exe abrirá el proceso notepad.exe para ejecutar »Zoom.exe.»

El backdoor se conecta a la URL dabmaster [.] Wm01 [.] Y ejecuta comandos de un usuario malintencionado remoto, algunos de los cuales se enumeran a continuación.

  • Agregar, eliminar y cambiar archivos e información de registro
  • Obtener información de software y hardware
  • Obtener controladores de cámara web
  • Grabar audio y registrar pulsaciones de teclas
  • Iniciar, suspender y finalizar procesos y servicios.
  • Iniciar / detener transmisión de pantalla
  • Iniciar / detener punto de acceso inalámbrico

También carga el archivo Zoom.vbs en la carpeta de inicio de usuario de Windows, para permitir la ejecución automática en cada inicio del sistema. Sin embargo, estos procesos no continuarán si detecta procesos conectados a ciertas herramientas de depuración o seguridad:

  • aswidagent.exe
  • avastsvc.exe
  • avastui.exe
  • avgsvc.exe
  • avgui.exe
  • avp.exe
  • bdagent.exe
  • bdwtxag.exe
  • dwengine.exe
  • mpcmdrun.exe
  • msmpeng.exe
  • nissrv.exe
  • ollydbg.exe
  • procexp.exe
  • procexp64.exe
  • procmon.exe
  • procmon64.exe
  • windbg.exe

Termina solo cuando se ejecuta en los siguientes entornos virtuales:

  • Kernel-based Virtual Machine
  • Microsoft Hypervisor
  • Parallels Hypervisor
  • VirtualBox
  • VMware
  • Xen Virtual Machine Manager

También termina si encuentra un nombre de archivo similar a cualquiera de los siguientes:

  • Malware
  • Sample
  • Sandbox

Dado que el usuario descargó una versión legítima de la aplicación Zoom (4.6), no se levantaran muchas sospechas.

La observación inicial de la muestra arroja un comportamiento similar al malware Fareit. Sin embargo, una inspección adicional revela que en realidad se trata de RevCode WebMonitor RAT, que según los informes, ciertos grupos vendían en foros de piratería a mediados de 2017. La RAT permite a los actores de amenazas obtener el control de los dispositivos comprometidos y espiarlos mediante el registro de teclas, la transmisión de la cámara web o las capturas de pantalla. Encontramos una regla de YARA para esto en este hilo de Twitter.

El ejemplo recopila la siguiente información y la envía a través de HTTP POST a la URL hxxps: //213.188.152.96/recv7 [.] Php

. {BLOQUEADO} .96 / recv7.php:

  • Información de la batería
  • Informacion de la computadora
  • Información del monitor de escritorio
  • Información de memoria
  • Configuración del adaptador de red
  • Información del sistema operativo
  • Información del procesador
  • Información del controlador de video