Entre as conferências e conversas on-line sobre pandemia da COVID-19, algumas são o principal método de comunicação na Internet para empresas e particulares. E embora o ZOOM seja a escolha preferida para muitos, tornou-se famoso por ter sérios problemas de segurança. Felizmente, seus desenvolvedores são rápidos em resolver as vulnerabilidades.
Devido ao fato de um número muito grande de usuários estar usando, existem muitas organizações clandestinas que lidam com credenciais de ZOOM roubadas. Tudo isso leva a muitos cenários perigosos, muitos dos quais estão sendo usados por grupos criminosos. Neste artigo, pretendemos mostrar por que os problemas de ZOOM que foram descobertos são realmente um problema que persiste no tempo.
As vulnerabilidades do ZOOM - O que aconteceu e por que são perigosos?
O ZOOM é um poderoso serviço de webconferência, usado principalmente por grandes empresas e vários grupos para conduzir conversas, apresentações e bate-papos em grupo. Como um dos principais softwares de sua categoria, muitos dos problemas de segurança encontrados ao longo dos anos têm um impacto muito maior do que um bug temporário. E, embora a empresa tenha resolvido rapidamente os problemas, parece que isso afetou as vítimas de uma maneira muito maior que elas poderiam imaginar.
Um dos erros mais importantes que afetam o software foi detectado em dezembro 2018 e rastreado no CVE-2018-15715 consultivo. Esta foi uma fraqueza do programa que permitiu que hackers remotos sequestrassem sessões on-line. Isso foi feito falsificando o tráfego da Internet, a fim de obter o controle de todas as sessões.
O código de prova de conceito divulgado mostra como os criminosos podem assumir o controle das conferências usando vários cenários diferentes — alguns deles incluem a espionagem de usuários, sessões de interceptação e também sessões das quais os hackers não fazem parte das reuniões.
Na época em que esses erros de segurança de alto impacto foram descobertos inicialmente, veio o chamado "Redução de zoom" fenômeno. Essa é uma técnica usada por atores mal-intencionados usados para invadir uma conferência ZOOM ativa. A intenção pode ser publicar conteúdo de SPAM, interromper as reuniões ou desviar a atenção para outro tópico. Tal “raids” estão sendo efetivamente organizados em várias redes e comunidades sociais, incluindo o Reddit, 4chan, Facebook, Twitter, Discórdia e outros. Isso mostra que muitos hackers, brincalhões, spammers e tipos relacionados de usuários têm desviado sua atenção para usar o ZOOM como uma plataforma para atividades criminosas.
Em abril deste ano, um especialista em segurança postado no Twitter que a versão Windows do aplicativo ZOOM é vulnerável a uma vulnerabilidade classificada como um tipo de “Injeção de caminho UNC”. Este é um bug de segurança que permite que criminosos de computador sequestrem credenciais como parte do ataque, nesse caso, essa é a senha de login do sistema operacional para o usuário atual.
Esse tipo de bug pode ser usado para executar aplicativos que já estão presentes nos sistemas ou para iniciar comandos neles. Isso pode ser usado em vários cenários, como os seguintes:
- Malware Infecções — Através da execução de comandos específicos, utilizando as vulnerabilidades, os hackers podem implantar vários tipos de malware nos computadores. Isso inclui ransomware, troiano, mineiros criptomoeda e etc..
- Alterações do sistema — Os comandos remotos também podem editar as principais configurações do sistema operacional ou software instalado, levando a problemas de desempenho e até sabotagem.
- Roubo de arquivos e operações com cavalos de Tróia — Campanhas de malware avançadas podem ser usadas para roubar arquivos ou instalar clientes de cavalos de Tróia, que são usados para controlar as máquinas.
O que acontece com as contas ZOOM invadidas
Um dos principais objetivos de todas as campanhas de malware iniciadas contra usuários do ZOOM é roubar credenciais do usuário: não apenas no software, mas também de outros serviços, possivelmente estendendo isso para serviços bancários, mensagens de e-mail e outros. Os grupos criminosos podem recorrer à venda de informações seqüestradas em comunidades clandestinas. Os locais mais apropriados são os mercados da Dark Web, usados para negociar software pirata, drogas e dados roubados, entre outros bens. Quando se trata de contas roubadas, isso pode ter um impacto muito maior - geralmente os criminosos rotulam se os usuários vítimas forem de uma empresa, agência governamental ou outros alvos de destaque.
Alguns dos usos comuns de contas ZOOM roubadas incluem os seguintes:
- roubo de conta — Quando as conferências ZOOM são conduzidas por funcionários do governo ou coany, em muitos casos, as contas de outros serviços são compartilhadas. Quando as sessões são espionadas, essas informações podem ficar disponíveis.
- Roubo de dados confidenciais — Os criminosos podem seqüestrar todos os dados que podem ser considerados lucrativos pelos criminosos.
- Roubo de identidade — As informações seqüestradas sobre os usuários podem ser usadas em vários crimes relacionados à identidade e abuso financeiro relacionado.
Os hacks do ZOOM que foram organizados ao longo dos anos resultaram no roubo bem-sucedido de informações de instituições e empresas como: Universidade do Colorado, Dartmouth, Lafayette, correr atrás, Citibank e outros. Contas seqüestradas deles e de outras empresas vítimas foram posteriormente colocadas em grandes pedidos de vendedores. Uma empresa comprou cerca de 530,00 contas individuais das vítimas pelo preço de $0.002 cada. Durante a análise, parece que algumas das invasões foram feitas como parte de ataques mais antigos.
Quando se trata de usar serviços on-line, algumas das estratégias de segurança proativas agora implementam o uso de notificações de violação de banco de dados públicas, como as populares Fui sacaneado. Os usuários da conta do ZOOM também devem monitorar cuidadosamente os sites de notícias de segurança, a fim de permanecer alerta se algum problema for descoberto. Sempre recomendamos que um utilitário anti-malware de nível profissional seja usado.