繼散播挖礦程式後,趨勢科技最近發現惡意軟體偽裝成合法應用程式 Zoom 來隱藏自己的邪惡意圖。網路犯罪分子重新封裝正常安裝程式並綁進 WebMonitor RAT 後門程式,並將重新封裝的安裝程式發布到惡意網站。
該後門程式具有關閉連線 、 取得網路攝影機驅動程式/快照、 記錄音訊和側錄鍵盤、啟動/停止無線接入點…..等惡意行為 。
新冠狀病毒(COVID-19,俗稱武漢肺炎)的疫情爆發突顯出通訊軟體對於在家工作(WFH)的用處。但就跟往常一樣,網路犯罪分子會想辦法利用流行趨勢和使用者潮流。趨勢科技已經看到了針對包括Zoom在內等多款即時通應用的威脅。
在4月初,我們發現有攻擊利用Zoom安裝程式來散播虛擬貨幣挖礦程式。我們在最近看到另一起類似攻擊會去植入另一種後門程式:RevCode WebMonitor RAT(趨勢科技偵測為Backdoor.Win32.REVCODE.THDBABO)。
要注意的是儘管安裝程式是正常的,但跟惡意軟體綁在一起的安裝程式並非來自官方來源(如Zoom自己的下載中心)或合法應用商店(如Apple App Store和Google Play Store),而是來自惡意來源。
大量的惡意軟體都會偽裝成合法應用程式來隱藏自己的邪惡意圖。Zoom並不是唯一被用於此類威脅的應用程式,有許多其他應用程式也被用在此類攻擊。在此案例中,網路犯罪分子重新封裝正常安裝程式並綁進WebMonitor RAT 後門程式,並將這些重新封裝的安裝程式發布到惡意網站。
