新冠疫情引发了全球远程办公热潮,视频会议软件Zoom无疑是最大的赢家之一。自2020年初以来,Zoom的每月活跃用户数量如火箭般攀升,仅2020年一季度就获取了约222万新增用户,超过2019年全年的新增用户数(199万)。Zoom现在每月有超过1,290万活跃用户,Bernstein Research分析师上个月表示,自去年年底以来,其用户增长了约21%。
但不幸的是,Zoom最近成了黑客活动的理想目标和温床。
根据CheckPoint的最新报告,自年初以来,与Zoom相关的域名注册数量飙升,有4%都存在可疑特征。
研究人员最近还发现了zoom-us-zoom_############.exe命名格式的恶意文件,该文件在执行时将启动InstallCore安装程序(下图),尝试安装可能有害的第三方应用程序或恶意载荷,这取决于攻击者的最终目标。
InstallCore已被各种安全解决方案标记为潜在有害应用程序(PUA)或潜在有害程序(PUP),该程序有时会禁用用户访问控制(UAC),添加启动文件,安装浏览器扩展以及搞乱浏览器的配置和设置。
InstallCore PUA有时也被伪装成Microsoft Teams安装程序,攻击者使用microsoft-teams_V#mu#D_#############.exe命名方案来隐藏其恶意行为。
Twitter尚还有一位安全研究人员(https://twitter.com/W3B_B3ND3R/status/1244614573388435459)观测到Zoom用户感染了传播后门病毒的Neshta恶意软件,该恶意软件可以收集关于当前已安装的应用程序信息,正在运行的程序,和SMTP电子邮件帐户,并交付给幕后的攻击者。
安全人员指出:
目前尚不确定这些用户是在下载使用Zoom之前就已经感染了病毒,还是因为从网站下载了已经被感染的Zoom客户端。