Hackers viseren thuiswerkers met vals Zoom-installatiebestand

Er circuleert een installatiebestand van videoconferencingtool Zoom dat is gebundeld met een backdoor, zo ontdekte Trend Micro. Gebruikers moeten alert zijn waar ze de software downloaden of ze riskeren te worden besmet.

Cybercriminelen proberen tijdens de coronacrisis misbruik te maken van de populariteit van videoconferencingtools zoals Zoom om hun slag te slaan. Onderzoekers van cybersecurityspecialist Trend Micro ontdekten een nieuwe aanvalscampagne die het Zoom-installatiebestand samen met een backdoor-trojan verspreidt.

De besmette software wordt voor alle duidelijkheid alleen aangeboden via externe websites. Wie Zoom via de officiële website downloadt, hoeft zich geen zorgen te maken. Slachtoffers worden vermoedelijk via phishinglinks overhaald om naar een alternatieve website te surfen om daar het kwalijke bestand te downloaden.

Lees ook: Hoe cybercriminelen Covid-19 massaal misbruiken in hun aanvallen

WebMonitor

Eenmaal het installatiebestand is gedownload, wordt Zoom effectief geïnstalleerd, waardoor het lijkt alsof er niets aan de hand is. Op de achtergrond wordt evenwel ook de RevCode WebMonitor RAT. Dat is een Remote Access Trojan of backdoor om de activiteit op een getroffen systeem vanop afstand te observeren. Denk aan het registreren van toetsaanslagen, maken van screenshots en opnemen van webcambeelden.

Deze specifieke backdoor doet al de ronde sinds midden 2017, maar blijkt nog altijd succesvol. Doordat de RAT gebundeld is met een legitieme versie van Zoom, wordt geen argwaan gecreëerd bij de gebruiker. Bovendien schakelt WebMonitor zichzelf uit in een virtuele omgeving, zodat de trojan minder snel wordt ontdekt tijdens onderzoek van het besmette bestand.

Zoom 5.0

De beste manier om je tegen deze aanval te beschermen, is om Zoom alleen van de officiële website te downloaden, ook wanneer je schijnbaar van een vertrouwd contact een link naar een andere website toegestuurd krijgt.

Let er bovendien op dat je de nieuwste versie Zoom 5.0 downloadt. Deze heeft niet alleen belangrijke securityverbeteringen, maar is ook zeker virusvrij. De aanvalscampagne die door Trend Micro werd ontdekt maakt gebruik van Zoom 4.6