Os malfeitores continuam a utilizar o surto COVID-19 como isco para lançar vários ataques, como campanhas de malware, phishing, fraude e desinformação.
A grande maioria das organizações foram fechadas e os funcionários recebem opções para trabalhar em casa. Portanto, o uso do RDP e das plataformas de comunicação por vídeo tem sido elevado.
Recentemente, foram detetadas várias vulnerabilidades no cliente Zoom que permitem que os invasores roubem credenciais do SO Windows.
Dentro desse contexto, investigadores do IntSights descobriram uma base de dados partilhada na dark web contendo mais de 2300 nomes de utilizador e passwords para contas Zoom.
The database includes details of Zoom accounts such as email and password, others included meeting IDs, names and host keys.
Juntamente com as credenciais do Zoom, a base de dados também inclui dados de “ contas pessoais, contas corporativas de bancos, empresas de consultoria, estabelecimentos de ensino, prestadores de serviços de saúde e fornecedores de software, entre outros “.
Além disso, várias publicações foram também encontradas pedindo detalhes sobre como obter acesso às conferências live do Zoom.
Um dos utilizadores do fórum até sugere uma configuração para tirar partido de fragilidades deste software de vídeo-conferências:
The OpenBullet GitHub page describes it as a “a webtesting suite that allows to perform requests towards a target webapp and offers a lot of tools to work with the results. This software can be used for scraping and parsing data, automated pentesting, unit testing through selenium and much more.
IMPORTANT! Performing (D)DoS attacks or credential stuffing on sites you do not own (or you do not have permission to test) is illegal! The developer will not be held responsible for improper use of this software.“
Ele acrescentou ainda que, com a configuração, os utilizadores podem capturar o URL da reunião, a password do host, o nome completo, o ID da reunião e o tipo de conta.
Dicas para Prevenção
Aos utilizadores do Zoom, sugere-se que iniciem sempre uma meeting com password, não partilhem os links das reuniões em chats públicos ou redes sociais.
O próprio zoom também fez recentemente uma alteração, que não irá exibir o ID da reunião no titulo da barra de ferramenta . Em vez disso, o título será marcado como Zoom.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.