下載到惡意 Zoom 和執行真正的Zoom安裝程式比官方Zoom安裝程式要來得慢。因為惡意版本在執行Zoom前會先解開惡意組件,因此需要花費更多時間執行。
網路犯罪份子正在利用”新常態”(員工需要遠端工作的狀況以及易用網路工具的普及)來讓惡意程式濫用或偽裝熱門應用以感染系統。趨勢科技發現兩個偽裝成Zoom安裝程式的惡意檔案,解碼後發現裡面包含了惡意程式碼。這些惡意假安裝程式並非來自Zoom的官方管道。其中一個樣本會安裝後門讓駭客可以遠端執行惡意行為,而另一個樣本則會在裝置上安裝Devil Shadow殭屍網路。
網路犯罪分子也可能會利用其他視訊會議軟體來綁入惡意軟體。因此趨勢科技正密切監視其他平台、行為和樣本是否出現篡改或捆綁惡意軟體的跡象。為避免遭受這些惡意假安裝程式感染,請只從可信任來源(像是Google Play store、Apple App store和https://zoom.us/download)下載Zoom或其他應用程式。
繼續閱讀繼散播挖礦程式後,趨勢科技最近發現惡意軟體偽裝成合法應用程式 Zoom 來隱藏自己的邪惡意圖。網路犯罪分子重新封裝正常安裝程式並綁進 WebMonitor RAT 後門程式,並將重新封裝的安裝程式發布到惡意網站。
該後門程式具有關閉連線 、 取得網路攝影機驅動程式/快照、 記錄音訊和側錄鍵盤、啟動/停止無線接入點…..等惡意行為 。
新冠狀病毒(COVID-19,俗稱武漢肺炎)的疫情爆發突顯出通訊軟體對於在家工作(WFH)的用處。但就跟往常一樣,網路犯罪分子會想辦法利用流行趨勢和使用者潮流。趨勢科技已經看到了針對包括Zoom在內等多款即時通應用的威脅。
在4月初,我們發現有攻擊利用Zoom安裝程式來散播虛擬貨幣挖礦程式。我們在最近看到另一起類似攻擊會去植入另一種後門程式:RevCode WebMonitor RAT(趨勢科技偵測為Backdoor.Win32.REVCODE.THDBABO)。
要注意的是儘管安裝程式是正常的,但跟惡意軟體綁在一起的安裝程式並非來自官方來源(如Zoom自己的下載中心)或合法應用商店(如Apple App Store和Google Play Store),而是來自惡意來源。
大量的惡意軟體都會偽裝成合法應用程式來隱藏自己的邪惡意圖。Zoom並不是唯一被用於此類威脅的應用程式,有許多其他應用程式也被用在此類攻擊。在此案例中,網路犯罪分子重新封裝正常安裝程式並綁進WebMonitor RAT 後門程式,並將這些重新封裝的安裝程式發布到惡意網站。
網路犯罪集團隨時都在尋找賺錢及竊取資料的新機會,根據以往的經驗,全球發生熱門重大事件的時候就是他們的天賜良機,而目前全球最重大的事件就是冠狀病毒( COVID-19,俗稱武漢肺炎)疫情。這波疫情早已觸發了一波波的網路釣魚(Phishing)、變臉詐騙(BEC 詐騙)、勒索病毒以及資料外洩攻擊。隨著全球被迫在家工作(Work-From-Home,WFH)的員工人數持續增加,視訊會議軟體也開始成為歹徒瞄準的目標。
知名的視訊會議軟體 Zoom 儘管並非歹徒唯一的攻擊對象,但卻是今年目前為止一些重大事件的主角。所幸,您還是有一些方法可以保障您的企業安全。
從某些方面來看,這款視訊會議軟體其實是被自己所累。過去就有研究人員指出該軟體的一些資安疑慮,例如:Mac 的 Zoom 用戶端出現零時差漏洞可能讓駭客經由使用者自己的網路攝影機來監視使用者。隨後不久,另一項研究也揭露該平台存在著某項 API 漏洞。只不過,這些漏洞目前仍尚未出現真實的攻擊案例。
但現在情況已大不相同:全球有許多人開始使用該軟體來進行商務和個人視訊會議,所以其資安風險才突然開始被放大檢視。
2020 年 3 月 31 日
網路視訊會議軟體 Zoom 相關的惡意網域和檔案越來越多,顯示犯罪集團正趕搭視訊會議軟體因疫情而崛起的趨勢,發動所謂的「 Zoom Bombing 」 Zoom 惡作劇 攻擊,趁機亂入進行中的視訊會議,干擾會議進行。自從許多企業因新型冠狀病毒 (COVID-19) 疫情爆發而開始讓員工在家上班之後,Zoom 這類視訊會議平台突然變得熱門起來。