Além dos problemas de segurança no Zoom recentemente divulgados, cibercriminosos estão realizando a venda de dois exploits para vulnerabilidades críticas neste software de videoconferências. As vulnerabilidades exploradas por esses exploits estão presentes nos clientes Windows e MacOS e permitem que um atacante possa comprometer os dispositivos dos usuários e espiar as chamadas feitas por meio da ferramenta.
Segundo o portal Motherboard, três fontes familiarizadas com esses mercados confirmaram a comercialização desses dois exploits. Embora os detalhes dos códigos maliciosos que se aproveitam dessas falhas não sejam conhecidos, as diferentes fontes foram contatadas pelos intermediários que os ofereceram.
Um exploit não é um malware, mas sim um código que permite tirar proveito da falha para que o atacante possa acessar um sistema e fornecer as permissões necessárias para infectá-lo posteriormente. Quando falamos de exploits zero-day, estamos nos referindo a códigos que exploram vulnerabilidades desconhecidas; ou seja, que não foram relatadas anteriormente ao público, o que significa que não há nenhum patch ou atualização disponível que corrija a falha de segurança e, portanto, representam uma ameaça grave.
Os exploits para uma vulnerabilidade zero-day são normalmente comercializados no mercado negro por grandes somas de dinheiro, dependendo do software que afetam. No caso do Zoom, isso ocorreu devido à grande popularidade que esse aplicativo teve recentemente, já que muitas empresas e instituições educacionais implementaram trabalhos e realizaram aulas remotos através da ferramenta, como consequência da pandemia do novo coronavírus (Covid-19). Esse fato despertou o interesse dos cibercriminosos, que voltaram sua atenção para este software na esperança de descobrir exploits que pudessem ser vendidos na dark web e fóruns de hacking, explicou o site Vice.
No caso do exploit zero-day para o cliente Zoom no Windows, o mesmo explora uma vulnerabilidade que permite a execução remota de código no computador da vítima. Os exploits de execução remota de código (RCE) são inestimáveis, pois permitem que um atacante comprometa o dispositivo de destino sem recorrer a e-mails de phishing – que precisam que a vítima cometa um erro e baixe um arquivo ou clique em um link. Conforme confirmado por uma das fontes do portal Motherboard, o exploit para Windows está sendo oferecido por mais de US$ 500.000.
No caso da vulnerabilidade zero-day para o cliente Zoom no MacOS, não se trata de um exploits de execução remota de código e é bem mais difícil de usar, o que o torna menos grave.
Contas do Zoom comercializadas na dark web
Nesta semana, também veio à tona a notícia de que cibercriminosos estão vendendo contas do Zoom na dark web e em fóruns clandestinos de forma bem barata e, em alguns casos, até as oferecem gratuitamente. Os criminosos estão obtendo a maior parte dos dados de acesso através de ataques conhecidos como credential stuffing, que consiste no uso de combinações de nomes de usuário e senhas que foram filtradas em diferentes vazamentos de segurança e que permitem que os atacantes reúnam uma lista dessas combinações que, posteriormente, são vendidas a outros cibercriminosos para realizar outros ataques.
A empresa Cyble explicou ao site portal BleepingComputer que desde o dia 1º de abril observou em fóruns de hacking esse fenômeno no qual pacotes de contas vinculadas a diferentes faculdades e universidades nos Estados Unidos eram oferecidos gratuitamente.
Além disso, a empresa de segurança fez a compra de alguns pacotes desses dados com a intenção de alertar seus clientes e comentou com o portal BleepingComputer que os pacotes comprados continham endereços de e-mail, senhas, URLs de reuniões e credenciais de administradores. Por isso, é fundamental que os usuários alterem suas senhas de acesso.