Zoom Installer bringt ein RAT mit

Originalartikel von Raphael Centeno, Mc Justine De Guzman und Augusto Remillano II

Online-Kommunikationssysteme haben sich in diesen Zeiten der Pandemie als sehr nützlich erwiesen. Leider stellen das auch Cyberkriminelle fest, und die Angriffe auf die verschiedenen Messaging-Apps, einschließlich Zoom, nehmen stetig zu. Die Sicherheitsforscher von Trend Micro entdeckten im April einen Angriff, der Zoom Installer nutzt, um einen Krypto-Miner zu verbreiten. Kürzlich gab es einen ähnlichen Angriff, der jedoch eine andere Schadsoftware ablegt: RevCode WebMonitor RAT (Backdoor.Win32.REVCODE.THDBABO). Achtung: Die Installer sind zwar legitim, doch die mit Malware gebündelten Programme kommen nicht aus offiziellen Quellen der Zoom-Anwendung, wie z. B. dem Zoom-eigenen Download-Center oder aus legitimen App-Stores wie Apple App Store und Google Play Store, sondern aus bösartigen Quellen.

Viele Malware-Varianten stellen sich als legitime Anwendung dar, um ihre böswilligen Absichten zu verbergen. Zoom ist nicht die einzige Anwendung, die für diese Art von Bedrohung eingesetzt wird. In diesem speziellen Fall haben Cyberkriminelle möglicherweise die legitimen Installationsprogramme mit Zugabe von WebMonitor RAT neu verpackt und diese Installer auf bösartigen Websites veröffentlicht.

Die Kompromittierung beginnt damit, dass der Nutzer die bösartige Datei ZoomIntsaller.exe aus bösartigen Quellen herunterlädt. ZoomInstaller.exe ist die Datei, die die Kombination aus einem nicht bösartigen Zoom-Installationsprogramm und RevCode WebMonitor RAT enthält. ZoomInstaller.exe legt dann eine Kopie seiner selbst namens Zoom.exe ab und öffnet den Prozess notepad.exe, um Zoom.exe auszuführen. Technische Einzelheiten zum Angriffsablauf enthält der Originalbeitrag.

Die Schadsoftware bricht ab, wenn sie in den folgenden virtuellen Umgebungen ausgeführt wird: kernel-basierte virtuelle Maschine, Microsoft Hypervisor, Parallels Hypervisor, VirtualBox, VMware und Xen Virtual Machine Manager. Auch wenn der Schädling eine Datei ähnlich der folgenden – Malware, Sample, Sandbox – findet, bricht er die eigene Ausführung ab. Da das System eine legitime Zoom-Version (4.6) heruntergeladen hat, wird der Nutzer nicht misstrauisch, obwohl sein System zu diesem Zeitpunkt bereits kompromittiert ist.

Erste Beobachtungen des Samples zeigten ein Fareit-ähnliches Verhalten. Bei näherer Betrachtung stellt sich jedoch heraus, dass es sich tatsächlich um RevCode WebMonitor RAT handelt, mit dem bestimmte Gruppen Berichten zufolge bereits Mitte 2017 in Hacking-Foren hausieren gingen. Das RAT (Remote Access Tool) erlaubt es Bedrohungsakteuren, die Kontrolle über kompromittierte Geräte zu erlangen und diese per Keylogging, Webcam-Streaming oder Screen-Captures auszuspionieren.

Empfehlungen

Videokonferenz-Apps lassen sich mit Hilfe folgender Best Practices schützen:

  • Installer nur aus offiziellen Quellen herunterladen, z.B. aus den eigenen Download-Zentren der Apps. Inoffizielle Download-Sites werden höchstwahrscheinlich von Cyberkriminellen eingerichtet, um ahnungslose Benutzer anzulocken.
  • Sichern der Videokonferenz-Apps. Dazu gehören u. a. die Vergabe von Passwörtern für Meetings, die Geheimhaltung von Meeting-Informationen, die Nutzung von Warteräumen und die Konfiguration von Host-Controls.
  • Stets die aktuelle Version der Apps verwenden. Damit werden mögliche Schwachstellen, die Angreifer ausnutzen können, geschlossen. Für Zoom ist es bald die Version 5.0.

Zusätzlich dazu ist es ratsam, eine Sicherheitslösung zu installieren, wie etwa die folgenden:

  • Trend Micro Apex One™ – bietet fortschrittliche automatisierte Detection & Response für eine wachsende Vielfalt an Bedrohungen.
  • Trend Micro XDR – setzt künstliche Intelligenz und Analytics ein für die Daten, die Trend Micro-Lösungen in Unternehmen sammeln, um eine schnellere und genauere Erkennung zu erreichen.

Auch empfiehlt sich ein mehrschichtiger Schutzansatz, um proaktiv bekannte und neue Bedrohungen an allen möglichen Eintrittspunkten zu erkennen und zu blockieren.