Tra le conferenze Web Pandemic COVID-19 e i colloqui per alcuni sono il principale metodo di comunicazione Internet per le aziende e le parti private. E mentre ZOOM è una scelta preferita per molti, è diventato famoso per avere seri problemi di sicurezza. Per fortuna, i suoi sviluppatori sono pronti ad affrontare le vulnerabilità.
A causa del fatto che un numero molto elevato di utenti lo utilizza, ci sono state molte organizzazioni sotterranee che si occupano delle credenziali ZOOM rubate. Tutto ciò porta a molti scenari pericolosi, molti dei quali vengono utilizzati da gruppi criminali. In questo articolo ci proponiamo di mostrare perché i problemi ZOOM che sono stati scoperti sono in realtà un problema che persiste nel tempo.
Le vulnerabilità di ZOOM: cosa è successo e perché sono pericolose?
ZOOM è un potente servizio di conferenza Web che viene utilizzato principalmente da grandi aziende e vari gruppi per condurre colloqui, presentazioni e chat di gruppo. Essendo uno dei migliori software della sua categoria, molti dei problemi di sicurezza riscontrati negli anni hanno un impatto molto maggiore rispetto a un bug temporaneo. E mentre la società è stata rapida nel risolvere i problemi, sembra che ciò abbia colpito le vittime in un modo molto più grande di quanto possano immaginare.
Uno dei bug più importanti che riguardano il software è stato rilevato di nuovo Dicembre 2018 e monitorato in CVE-2.018-15.715 consultivo. Questa era una debolezza del programma che consentiva agli hacker remoti di dirottare sessioni online. Ciò è stato fatto falsificando il traffico Internet al fine di ottenere il controllo di tutte le sessioni.
Il codice di prova del concetto rilasciato mostra come i criminali possono assumere il controllo delle conferenze utilizzando diversi scenari — alcuni includono lo spionaggio degli utenti, intercettare sessioni e anche sessioni di cui gli hacker non fanno parte delle riunioni.
Intorno al momento in cui furono inizialmente scoperti bug di sicurezza di così alto impatto, arrivò il cosiddetto "Zoom Bonbing" fenomeno. Questa è una tecnica utilizzata da attori malintenzionati utilizzati per intromettersi in una conferenza ZOOM attiva. L'intenzione potrebbe essere quella di pubblicare contenuti SPAM, interrompere le riunioni o spostare l'attenzione su un altro argomento. Come “raid” vengono effettivamente organizzati su vari social network e comunità tra cui Reddit, 4chan, Facebook, Cinguettio, Discord e altri. Questo dimostra che molti hacker, burloni, gli spammer e i relativi tipi di utenti hanno spostato la loro attenzione sull'uso di ZOOM come piattaforma per attività criminali.
Nell'aprile di quest'anno un esperto di sicurezza pubblicato su Twitter che la versione Windows dell'applicazione ZOOM è vulnerabile a una vulnerabilità che è classificata come un tipo di “Iniezione percorso UNC”. Questo è un bug di sicurezza che consente ai criminali informatici di dirottare le credenziali come parte dell'attacco, in questo caso questa è la password di accesso al sistema operativo per l'utente corrente.
Questo tipo di bug può essere utilizzato per eseguire applicazioni già presenti nei sistemi o per avviare comandi su di essi. Questo può essere usato in vari scenari come il seguente:
- malware Infezioni — Attraverso l'esecuzione di comandi specifici utilizzando le vulnerabilità, gli hacker possono impiantare vari tipi di malware nei computer. Questo include ransomware, Trojan, minatori criptovaluta ed ecc.
- modifiche al sistema — I comandi remoti possono anche modificare le impostazioni chiave del sistema operativo o del software installato, causando problemi di prestazioni e persino il sabotaggio.
- Furto di file e operazioni su trojan — Le campagne malware avanzate possono essere utilizzate per rubare file o per installare client Trojan Horse che vengono utilizzati per assumere il controllo delle macchine.
Cosa succede agli account ZOOM dirottati
Uno degli scopi principali di tutte le campagne di malware avviate contro gli utenti di ZOOM è rubare le credenziali dell'utente: non solo sul software, ma anche di altri servizi, eventualmente estenderlo ai servizi bancari, messaggi di posta elettronica e altri. I gruppi criminali possono ricorrere alla vendita delle informazioni dirottate sulle comunità sotterranee. I luoghi più appropriati sono i mercati di Dark Web che vengono utilizzati per scambiare software pirata, droghe e dati rubati tra l'altro beni. Quando si tratta di account rubati, ciò può avere un impatto molto maggiore - spesso i criminali identificheranno se gli utenti vittime provengono da un'azienda, agenzia governativa o altri obiettivi di alto profilo.
Alcuni degli usi comuni degli account ZOOM rubati includono quanto segue:
- furto di account — Quando le conferenze ZOOM sono condotte da dipendenti statali o governativi, in molti casi i conti ad altri servizi sono condivisi. Quando le sessioni vengono spiate, tali informazioni potrebbero diventare disponibili.
- Sensibile furto di dati — I criminali possono dirottare tutti i dati che possono essere considerati redditizi dai criminali.
- Furto d'identità — Le informazioni dirottate sugli utenti possono essere utilizzate in vari reati connessi all'identità e relativi abusi finanziari.
Gli hack ZOOM che sono stati organizzati nel corso degli anni hanno portato al furto riuscito di informazioni da parte di istituzioni e aziende come: Università del Colorado, Dartmouth, Lafayette, Inseguire, Citibank e altri. I conti sequestrati da loro e da altre società vittime sono stati successivamente inseriti in grandi ordini di venditori. Una società ha acquistato circa 530,00 dei conti individuali delle vittime al prezzo di $0.002 ogni. Durante l'analisi sembra che alcune delle intrusioni siano state fatte come parte di attacchi più vecchi.
Quando si tratta di utilizzare i servizi online, alcune delle strategie di sicurezza proattive ora implementano l'uso di notifiche di violazione del database pubblico come il popolare Sono stato investito. Gli utenti dell'account ZOOM devono inoltre monitorare attentamente i siti di notizie sulla sicurezza per rimanere vigili in caso di problemi. Raccomandiamo sempre di utilizzare un'utilità anti-malware di livello professionale.