Archivos de la categoría: Zoom

Malware de control remoto empaquetado en instaladores de Zoom

Categoría: Seguridad Zoom

Investigadores de TrendMicro han encontrado una familia de troyanos de control remoto (RAT) distribuidos junto con instaladores legítimos de Zoom.

El confinamiento por la pandemia del coronavirus ha disparado el uso de aplicaciones de videoconferencia como Zoom. El perfil de sus usuarios es muy variado y algunos menos técnicos son un punto flaco que ciberdelincuentes aprovechan para llevar a cabo sus ataques.

Zoom ya ha sido el objetivo de atacantes e investigadores de seguridad que han aprovechado y descubierto varias vulnerabilidades en este período de confinamiento.

En este caso no se trata de un fallo de seguridad en el programa, sino un esquema de ataque mucho más simple que utiliza la popularidad del software como cebo: los ciberdelincuentes distribuyen instaladores de Zoom legítimos empaquetados junto con un «backdoor» que permite controlar de forma remota al equipo infectado.

Este troyano ha sido bautizado por los investigadores como «RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO)». Y permite tomar el control de la máquina que ha sido infectada:

  • Añadir, borrar o modificar ficheros e información del registro.
  • Cerrar conexiones bajo demanda.
  • Exfiltrar información sobre el software o el hardware de la máquina.
  • Tomar capturas de la webcam del dispositivo.
  • Grabar audio y pulsaciones de teclado.
  • Iniciar, suspender o terminar procesos o servicios.
  • Retransmitir en directo la pantalla de la víctima.
  • Conectar o desconectar el WiFi.

Para asegurar su persistencia se instala el fichero «Zooom.vbs» en la carpeta de inicio del usuario, lo que permite la ejecución del malware al inicio del sistema. Siempre y cuando no se detecte ningún indicio de que hay un analista intentando descubrir sus mecanismos. Para ello comprueba la presencia de procesos como:

  • aswidagent.exe
  • avastsvc.exe
  • avastui.exe
  • avgsvc.exe
  • avgui.exe
  • avp.exe
  • bdagent.exe
  • bdwtxag.exe
  • dwengine.exe
  • mpcmdrun.exe
  • msmpeng.exe
  • nissrv.exe
  • ollydbg.exe
  • procexp.exe
  • procexp64.exe
  • procmon.exe
  • procmon64.exe
  • windbg.exe

Y finaliza su ejecución en caso de encontrar alguno. No solo eso, también se comprueba si el entorno en el que se está ejecutando se trata de una máquina virtual:

  • Kernel-based Virtual Machine
  • Microsoft Hypervisor
  • Parallels Hypervisor
  • VirtualBox
  • VMware
  • Xen Virtual Machine Manager

O si encuentra ficheros de nombre similar a alguno de los siguientes:

  • Malware
  • Sample
  • Sandbox

Todo esto complica el análisis a un experto y lo hace indetectable para el usuario con menos experiencia.

La víctima ejecutará una instalación legítima de Zoom que funcionará de la forma habitual. Sin embargo en este punto su máquina ya habrá sido comprometida.

Las muestras analizadas por TrendMicro enviaban la información de la víctima a través de peticiones HTTP POST a la URL hxxps://213.188.152.96/recv7[.]php y utilizaban la URL dabmaster[.]wm01[.]to y barclaysb[.]wm01[.]to como servidor de control y comando.

Al parecer los instaladores de Zoom fraudulentos han estado distribuyéndose utilizando enlaces de Bit.ly: https://bitly[.]com/31r0api.

Una garantía para estar protegidos es descargar el software siempre de fuentes oficiales, en este caso https://zoom.us/download.

Fuente: Una al dia

Seguridad en Zoom: Como configurarla de manera correcta

Categoría: Seguridad Zoom

Recomendaciones Iniciales

Como primera medida vamos a proceder a abrir un navegador web sin ningún contenido en sus pestañas. Puede ser chrome o firefox, pero que no tenga ninguna pestaña abierta.

Conviene registrarnos a zoom con una cuenta de email temporal (evitar usar cuentas de trabajo y personales, como así también evitar registrar usando google y facebook).
Zoom no deja en claro algunas cuestiones de compartimiento de información.
Para poder registrarnos con una cuenta de email temporal podemos ir a la siguiente url www.temp-mail.org y copiar la dirección que dice debajo del titulo “Your Temporary Email Address”. Con esa dirección de correo nos registramos en zoom.

Zoom nos va a enviar un link de activación y ese link lo vamos a ver en los mensajes en la cuenta temporal (hay que hacer scroll hacia abajo en la pestaña donde tenemos abierto el email temporal).
Con eso evitamos de que zoom comparta nuestros datos con terceros.
Seguidamente ya vamos a tener el email temporal en nuestra cuenta de zoom.

Explicamos cómo puede mejorar enormemente su privacidad y seguridad en Zoom con las opciones de configuración que ofrece la herramienta.

  1. Configurar una reunión en Zoom

Utilice siempre la generación automática: de esta manera cada reunión tendrá un “ID de reunión” diferente. Si el ID de una reunión se ve comprometido, solo servirá para una sola reunión y no para todas las que organice.

Esa contraseña de reunión puede cambiarla cuantas veces quiera. No siempre debe ser la misma

Esto no significa que se necesita una contraseña para unirse a una reunión. El requisito de una contraseña debe permanecer marcado. Sin embargo, para que sea efectiva, la opción de embeber una contraseña debe estar deshabilitada; vea abajo.

Iniciar una reunión con la cámara apagada puede ayudarlo a evitar un momento incómodo. En este sentido, será mejor que los usuarios se vean obligados a encender la cámara durante la reunión si así lo necesitan o desean.

El anfitrión deberá admitir a cada participante en la sala de conferencias. De esta manera, el control total de los asistentes está en manos del anfitrión.
Con el mismo espíritu de comenzar la reunión con la cámara apagada, controlar el encendido del micrófono de los participantes al ingresar significa que no se unirán a la reunión mientras están hablando con alguien más y así se evitarán interrupciones.
Deben considerarse configuraciones adicionales que están disponibles dentro del cliente web en lugar de la aplicación. Después de iniciar sesión en el lado izquierdo, haga clic en la opción ‘Configuración’ que aparece en ‘Personal’. A continuación, detallo las configuraciones que recomiendo modificar de la opción predeterminada.

Desactivar esto elimina la opción de un solo clic y evita que se incruste la contraseña en el enlace de la reunión. Esto significa que cada participante deberá ingresar la contraseña para unirse a la reunión. Establezca esto junto con las opciones de configuración a la hora de crear una reunión que mencionamos anteriormente.

Esto impide que cualquier participante comparta su pantalla, aunque el anfitrión puede pasar el control de la reunión a otro participante al convertirlos en el anfitrión para que pueda compartir su pantalla.

Esta recomendación puede no ser la ideal para todos los escenarios. Por ejemplo, para aquellos que utilicen la herramienta en el campo de la educación puede no ser deseable pasar el control de anfitrión a un estudiante.

Por lo tanto, considere las consecuencias de permitir que todos los participantes puedan compartan la pantalla o si es mejor limitar esta opción solo para
el anfitrión.

Considere desactivar esta opción, ya que permitir ver el fondo real podría funcionar también como una verificación de que el participante no comparte de forma inadvertida contenido confidencial en un lugar público, como puede ser una cafetería.

Consulte la descripción dada anteriormente en la sección ‘configuración de una reunión’.

Los dispositivos iOS de Apple realizan capturas de pantalla de las aplicaciones abiertas para mostrar imágenes en el conmutador de tareas. Habilitar esta opción evita que se visualicen datos confidenciales en el conmutador de tareas.

Pensamientos finales

Las recomendaciones anteriores no reemplazan la necesidad de que el lector revise la política de privacidad de Zoom para asegurarse de que cumpla con sus requisitos.

Tampoco deben considerarse estas sugerencias como una recomendación de mi parte para utilizar este servicio o sus aplicaciones. Las personas y las organizaciones deben tomar sus propias decisiones sobre estos asuntos. Las configuraciones sugeridas arriba son recomendaciones personales basadas en cómo configuraría Zoom en caso de utilizar esta herramienta para realizar una videoconferencia. Espero que sean de ayuda.

Páginas

© Copyright 2020. Todos los derechos reservados Funciona con