Para penjahat siber saat ini terdeteksi berusaha untuk mengambil keuntungan dari basis pengguna aplikasi Zoom yang meningkat sejak wabah COVID-19 dimulai dengan mendaftarkan ratusan domain bertema Zoom untuk tujuan jahat.
Perusahaan perangkat lunak konferensi video Zoom memberikan pelanggannya platform komunikasi berbasis cloud yang dapat digunakan untuk konferensi audio dan video, rapat online, serta obrolan dan kolaborasi melalui sistem seluler, desktop, dan telepon.
Perusahaan telah melihat peningkatan drastis pengguna aktif bulanan baru sejak awal tahun 2020 karena jutaan karyawan sekarang bekerja dari rumah, menambahkan sekitar 2,22 juta yang baru tahun ini saja, sementara hingga 2019 berada di angka 1,99 juta.
Secara total, Zoom sekarang memiliki lebih dari 12,9 juta pengguna aktif bulanan, dengan analis Bernstein Research mengatakan bulan lalu bahwa ia melihat pertumbuhan pengguna sekitar 21% sejak akhir tahun lalu seperti yang dilaporkan CNBC.
Ratusan domain bertema aplikasi Zoom terdaftar sejak awal tahun 2020
“Selama beberapa minggu terakhir, kami telah menyaksikan peningkatan besar dalam pendaftaran domain baru dengan nama-nama bertema ‘Zoom’, yang merupakan salah satu platform komunikasi video yang paling umum digunakan di seluruh dunia,” menurut laporan Check Point Research.
Ini adalah yang terjadi melihat bahwa aktor penjahat siber selalu mencoba untuk mengeksploitasi tren dan platform paling populer sebagai bagian dari serangan mereka yang sedang berlangsung, seperti yang terlihat jelas oleh peningkatan besar distribusi berbahaya bertema virus corona yang terlihat belakangan ini.
“Sejak awal tahun 2020, lebih dari 1700 domain baru terdaftar dan 25% dari mereka terdaftar dalam seminggu terakhir. Dari domain-domain terdaftar ini, 4% ditemukan mengandung karakteristik yang mencurigakan.”
Para peneliti juga menemukan file berbahaya menggunakan skema penamaan zoom-us-zoom_##########.exe yang ketika dieksekusi akan meluncurkan installer InstallCore yang akan mencoba untuk menginstal aplikasi pihak ketiga yang mungkin tidak diinginkan atau berbahaya tergantung pada tujuan si penyerang.
InstallCore ditandai sebagai aplikasi yang mungkin tidak diinginkan (PUA) atau program yang mungkin tidak diinginkan (PUP) oleh berbagai solusi keamanan dan, kadang-kadang, akan menonaktifkan Kontrol Akses Pengguna (UAC), menambahkan file yang akan diluncurkan saat startup, menginstal ekstensi browser, dan mengacaukan konfigurasi dan pengaturan browser.
InstallCore PUA juga disamarkan sebagai installer Microsoft Teams, dengan penyerang menggunakan skema penamaan microsoft-teams_V#mu#D_##########.exe untuk menyembunyikan penggunaan berbahayanya.
Check Point juga memperhatikan bahwa platform kolaborasi online lainnya seperti termasuk Google Classroom dan Microsoft Teams juga digunakan oleh peretas sebagai bagian dari upaya potensial untuk mengeksploitasi pengguna mereka.
“Situs web phishing baru telah ditemukan untuk setiap aplikasi komunikasi terkemuka, termasuk situs web resmi classroom.google.com, yang ditiru oleh googloclassroom[.]com dan googieclassroom[.]com,” para peneliti menemukan.
Peneliti lain telah melihat pengguna Zoom terinfeksi dengan file Neshta yang menginfeksi dengan virus backdoor, jenis malware yang dikenal untuk mengumpulkan informasi tentang aplikasi yang saat ini diinstal, menjalankan program, dan akun email SMTP dan mengirimkan data tersebut ke dalangnya.
New Neshta.A samples communicating with https://t.co/NIMRr5nL2ghttps://t.co/uoHd4xaGl2
SHA-256:
91abd7b5b4f3b5421ff8836e08f23070331b90d0aa700e141e8f4dc9cc680a6ab802f7dceb5efc9a7e8c5c2106243331446de50d0a9e37862ffaa6fc1ac34d5d#Zoom #Neshta #FileInjector #installer #malware
— ЩΣB BΣПDΣЯ ♣ (@W3B_B3ND3R) March 30, 2020
Masalah privasi dan masalah keamanan aplikasi Zoom
Platform kolaborasi online Zoom telah melalui masalah sendiri pada akhir-akhir ini, dengan pengembang harus memperbaiki kerentanan pada bulan Januari yang dapat memungkinkan aktor penjahat siber untuk mengidentifikasi dan bergabung dengan rapat Zoom yang aktif dan tidak dilindungi.
Beberapa hari yang lalu, Zoom juga mengumumkan bahwa mereka telah memutuskan untuk menghapus Facebook SDK (Software Development Kit) dari aplikasi Zoom iOS setelah dilaporkan oleh Motherboard bahwa ia mengumpulkan dan mengirim informasi perangkat ke server Facebook.
