非官方下載 Zoom ,當心夾帶後門程式 WebMonitor RAT

繼散播挖礦程式後,趨勢科技最近發現惡意軟體偽裝成合法應用程式 Zoom 來隱藏自己的邪惡意圖。網路犯罪分子重新封裝正常安裝程式並綁進 WebMonitor RAT 後門程式,並將重新封裝的安裝程式發布到惡意網站。
該後門程式具有關閉連線 、 取得網路攝影機驅動程式/快照、 記錄音訊和側錄鍵盤、啟動/停止無線接入點…..等惡意行為 。

新冠狀病毒(COVID-19,俗稱武漢肺炎)的疫情爆發突顯出通訊軟體對於在家工作(WFH)的用處。但就跟往常一樣,網路犯罪分子會想辦法利用流行趨勢和使用者潮流。趨勢科技已經看到了針對包括Zoom在內等多款即時通應用的威脅。

非官方下載 Zoom ,當心夾帶後門程式 WebMonitor RAT
非官方下載 Zoom ,當心夾帶後門程式 WebMonitor RAT

在4月初,我們發現有攻擊利用Zoom安裝程式來散播虛擬貨幣挖礦程式。我們在最近看到另一起類似攻擊會去植入另一種後門程式:RevCode WebMonitor RAT(趨勢科技偵測為Backdoor.Win32.REVCODE.THDBABO)。

要注意的是儘管安裝程式是正常的,但跟惡意軟體綁在一起的安裝程式並非來自官方來源(如Zoom自己的下載中心)或合法應用商店(如Apple App Store和Google Play Store),而是來自惡意來源。

大量的惡意軟體都會偽裝成合法應用程式來隱藏自己的邪惡意圖。Zoom並不是唯一被用於此類威脅的應用程式,有許多其他應用程式也被用在此類攻擊。在此案例中,網路犯罪分子重新封裝正常安裝程式並綁進WebMonitor RAT 後門程式,並將這些重新封裝的安裝程式發布到惡意網站。

具有關閉連線 、鍵盤側錄…..等惡意行為

感染活動從使用者自惡意來源下載惡意ZoomIntsaller.exe開始。這裡的ZoomInstaller.exe是指包含正常Zoom安裝程式及RevCode WebMonitor RAT的檔案。

執行ZoomInstaller.exe時,它會將自己複製成Zoom.exe植入。接著,ZoomInstaller.exe會開啟程序notepad.exe來執行Zoom.exe。

這後門程式會連到網址dabmaster[].wm01[].to並執行來自遠端惡意使用者的命令,下面列出了部分(請參閱我們的惡意軟體報告來取得完整列表):

  • 加入、刪除和更改檔案或登錄表資訊
  • 關閉連線
  • 取得軟體和硬體資訊
  • 取得網路攝影機驅動程式/快照
  • 記錄音訊和側錄鍵盤
  • 啟動、暫停和終止程序和服務
  • 開始/停止螢幕串流
  • 啟動/停止無線接入點

它還會將Zoom.vbs植入Windows使用者啟動目錄,使得每次系統啟動時都會自動執行。但如果偵測到程序連接某些除錯或安全工具時就不會繼續進行:

  • aswidagent.exe
  • avastsvc.exe
  • avastui.exe
  • avgsvc.exe
  • avgui.exe
  • avp.exe
  • bdagent.exe
  • bdwtxag.exe
  • dwengine.exe
  • mpcmdrun.exe
  • msmpeng.exe
  • nissrv.exe
  • ollydbg.exe
  • procexp.exe
  • procexp64.exe
  • procmon.exe
  • procmon64.exe
  • windbg.exe

在以下虛擬環境內執行時會自行終止:

  • Linux核心虛擬技術(KVM)
  • 微軟Hypervisor
  • Parallels Hypervisor
  • VirtualBox
  • VMware
  • Xen Virtual Machine Manager

如果發現到檔案使用與下列類似的檔名也會自行終止:

  • Malware
  • Sample
  • Sandbox

因為系統下載了合法Zoom應用程式版本(4.6),因此不會讓使用者感到可疑。但是此時系統已經被感染。

樣本初步觀察顯示出類似Fareit的行為。但進一步檢查發現其實是RevCode WebMonitor RAT,據報導早在2017年中就有團體在駭客論壇上兜售。這遠端執行工具(RAT)可以讓攻擊者取得對受感染裝置的控制,並透過鍵盤側錄、網路攝影機串流或螢幕截圖來進行竊聽。我們在此Twitter討論串中找到可用的YARA規則。

A screenshot of a cell phoneDescription automatically generated
A screenshot of a cell phoneDescription automatically generated
圖2. 部分解封檔案內的字串片段

這樣本會收集以下資訊,並透過HTTP POST發送到網址 hxxps://213.188.152.96/recv7[.]php:

  • 電池資訊
  • 電腦資訊
  • 桌面顯示器資訊
  • 記憶體資訊
  • 網路卡配置
  • 作業系統資訊
  • 處理器資訊
  • 繪圖控制器資訊

使用視訊應用程式安全三要點

Covid-19疫情的爆發及在許多國家/地區現行實施的居家隔離措施已經迫使公司採用WFH作法,因而需要視訊會議軟體。遵循以下最佳做法來確保使用這些應用程式的安全:

  1. 只從官方來源下載安裝程式,如應用程式自己的下載中心。網路犯罪分子很可能會建立非官方下載網站來引誘不知情的使用者。
  2. 保護好視訊會議軟體。作法包括要求會議密碼、對會議資訊保密、使用等待室或大廳功能以及設定主持人。
  3. 保持應用程式在最新版本。這可以解決攻擊者進行漏洞攻擊的問題。對Zoom使用者來說:Zoom版本5.0即將面世。

為了補強這些步驟,建議使用以下安全解決方案:

  • 趨勢科技Apex One™–提供進階自動威脅偵測和回應能力來應對日漸增長的各類威脅。
  • 趨勢科技XDR–將人工智慧和分析應用在趨勢科技解決方案橫跨企業所收集的深度資料集,從而提供儘早且更佳的檢測能力。

同時建議採用多層次保護作法,主動偵測和封鎖來自所有可能進入點的已知威脅和新威脅。

入侵指標

網址

  • dabmaster[.]wm01[.]to
  • hxxps://213.188.152.96/recv7[.]php
SHA-256 趨勢科技病毒碼檢測
753418831fcf215fe2d00ed33b9d2f1ed78bc92355e780c782fb35228007318e Backdoor.Win32.REVCODE.THDBABO

原文出處:WebMonitor RAT Bundled with Zoom Installer 作者:Raphael Centeno,Mc Justine De Guzman和Augusto II Remillano(趨勢科技

訂閱資安趨勢電子報