En medio de las conferencias y conferencias web de la pandemia COVID-19, para algunos son el método principal de comunicación por Internet para empresas y fiestas privadas.. Y aunque ZOOM es una opción preferida para muchos, se ha vuelto infame por tener serios problemas de seguridad. Afortunadamente, sus desarrolladores son rápidos para abordar las vulnerabilidades.
Debido al hecho de que un gran número de usuarios lo está utilizando, ha habido muchas organizaciones clandestinas que se ocupan de las credenciales de ZOOM robadas.. Todo esto lleva a muchos escenarios peligrosos., muchos de los cuales están siendo utilizados por grupos criminales. En este artículo pretendemos mostrar por qué los problemas de ZOOM descubiertos son en realidad un problema que persiste en el tiempo.
Las vulnerabilidades de ZOOM: qué sucedió y por qué son peligrosas?
ZOOM es un poderoso servicio de conferencia web que es utilizado principalmente por grandes empresas y diversos grupos para llevar a cabo conversaciones., presentaciones y chats grupales. Como uno de los principales software en su categoría, muchos de los problemas de seguridad que se encontraron a lo largo de los años tienen un impacto mucho mayor que un error temporal. Y aunque la compañía se apresuró a solucionar los problemas, parece que esto ha afectado a las víctimas de una manera mucho más amplia de lo que podrían imaginar.
Uno de los errores más importantes que afectan el software se detectó de nuevo en Diciembre 2018 y rastreado en el CVE-2.018-15.715 consultivo. Esta era una debilidad en el programa que permitía a los hackers remotos secuestrar sesiones en línea.. Esto se hizo falsificando el tráfico de Internet para obtener el control de todas las sesiones..
El código de prueba de concepto publicado muestra cómo los delincuentes pueden tomar el control de las conferencias utilizando varios escenarios diferentes — algunos de ellos incluyen el espionaje de usuarios, sesiones de interceptación y también sesiones de las cuales los hackers no son parte de las reuniones.
En la época en que se descubrieron inicialmente los errores de seguridad de alto impacto, se produjo el llamado "Zoom Bonbing" fenómeno. Esta es una técnica utilizada por actores maliciosos utilizados para entrometerse en una conferencia ZOOM activa. La intención puede ser publicar contenido de SPAM, interrumpir las reuniones o desviar la atención sobre otro tema. Tal “redadas” se están organizando efectivamente en varias redes sociales y comunidades, incluida Reddit, 4chan, Facebook, Gorjeo, Discordia y otros. Esto muestra que muchos hackers, bromistas, los spammers y los tipos de usuarios relacionados han desviado su atención hacia el uso de ZOOM como plataforma para actividades delictivas.
En abril de este año, un experto en seguridad publicado en Twitter que la versión de Windows de la aplicación ZOOM es vulnerable a una vulnerabilidad que se clasifica como un tipo de “Inyección de ruta UNC”. Este es un error de seguridad que permite a los delincuentes informáticos secuestrar credenciales como parte del ataque., en este caso, esta es la contraseña de inicio de sesión del sistema operativo para el usuario actual.
Este tipo de error se puede utilizar para ejecutar aplicaciones que ya están presentes en los sistemas o para iniciar comandos en ellos. Esto se puede usar en varios escenarios, como los siguientes:
- Infecciones de malware — Mediante la ejecución de comandos específicos utilizando las vulnerabilidades, los piratas informáticos pueden implantar varios tipos de malware en las computadoras. Esto incluye ransomware, Trojan, mineros y criptomoneda etc..
- Los cambios del sistema — Los comandos remotos también pueden editar la configuración clave del sistema operativo o el software instalado, lo que genera problemas de rendimiento e incluso sabotaje..
- Robo de archivos y operaciones de troyanos — Las campañas avanzadas de malware se pueden utilizar para robar archivos o para instalar clientes de troyanos que se utilizan para tomar el control de las máquinas..
Qué sucede con las cuentas ZOOM secuestradas
Uno de los propósitos principales de todas las campañas de malware iniciadas contra usuarios de ZOOM es robar credenciales de usuario: no solo en el software, pero también de otros servicios, posiblemente extendiendo esto a los servicios bancarios, mensajes de correo electrónico y otros. Los grupos criminales pueden recurrir a la venta de información secuestrada en comunidades clandestinas.. Los lugares más apropiados son los mercados de Dark Web que se utilizan para intercambiar software pirata., drogas y datos robados entre otros bienes. Cuando esto se refiere a cuentas robadas, esto puede tener un impacto mucho mayor: a menudo los delincuentes etiquetarán si los usuarios víctimas son de una empresa, agencia gubernamental u otros objetivos de alto perfil.
Algunos de los usos comunes de las cuentas de ZOOM robadas incluyen los siguientes:
- El robo de cuentas — Cuando las conferencias ZOOM son conducidas por empleados coany o gubernamentales en muchos casos, se comparten cuentas a otros servicios. Cuando se espían las sesiones, dicha información puede estar disponible.
- El robo de datos sensibles — Los delincuentes pueden secuestrar toda la información que los delincuentes puedan considerar lucrativa..
- El robo de identidad — La información secuestrada sobre los usuarios se puede usar en varios delitos relacionados con la identidad y abuso financiero relacionado.
Los hacks de ZOOM que se han organizado a lo largo de los años han resultado en el robo exitoso de información de instituciones y empresas como: Universidad de colorado, Dartmouth, Lafayette, Persecución, Citibank y otros. Las cuentas secuestradas de ellos y otras compañías víctimas se han colocado posteriormente en grandes pedidos de vendedores. Una empresa ha comprado aproximadamente 530,00 de cuentas individuales de las víctimas por el precio de $0.002 cada. Durante el análisis, parece que algunas de las intrusiones se hicieron como parte de ataques anteriores.
Cuando se trata de usar servicios en línea, algunas de las estrategias de seguridad proactivas ahora implementan el uso de notificaciones de violación de bases de datos públicas como la popular He sido Pwned. Los usuarios de la cuenta de ZOOM también deben monitorear cuidadosamente los sitios de noticias de seguridad para mantenerse alerta si se descubre algún problema. Siempre recomendamos utilizar una utilidad antimalware de nivel profesional..
Martin Beltov
Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.
Sígueme: