Messe in vendita per pochi soldi o addirittura rilasciate gratis. Ecco cosa è successo in sostanza alle credenziali degli utenti del colosso delle videoconferenze Zoom, a causa di un notevole attacco hacker che ha dirottato questi dati sul dark web.
Ecco che anche per partecipare ad una videoconferenza i rischi per la sicurezza dei propri dati sono alti. Da un lato, perché i canali come Zoom sono in questo momento di lockdown i più usati, dall’altro perché probabilmente la piattaforma o meglio l’app, che già aveva avuto problemi di privacy in precedenza, si è rivelata molto vulnerabile.
Ma cosa è Zoom?
Classificata come miglior piattaforma per videochiamate e chat a livello internazionale e “miglior posto in cui lavorare” nel 2019 da Glassdoor, Zoom viene fondata nel 2011 a San Jose in California e conta oggi più di duemila dipendenti nel mondo.
Zoom offre alle imprese una variegata gamma di soluzioni tecnologiche per la comunicazione a distanza, sia sotto forma di piani gratuiti che a pagamento.
Zoom è in grado di mettere in contatto team di lavoro abbreviando le distanze permettendo l’uso di vari tipi di comunicazione: videoconferenze, voice, webinar, chat, mobile creando flussi di lavoro personalizzati e innovativi. Ma per fare tutto ciò…ha bisogno di dati.
Zoom sotto l’occhio dei cyber criminal.
Siamo tutti connessi dalla mattina alla sera, chi per lavoro, per studio o per piacere ed è proprio questo il momento giusto per i criminali informatici o hacker per approfittare del furto di dati personali.
Se prima Zoom era poco conosciuta in Italia, molto di più in America o in altre parti del mondo, solo nell’ultimo mese le registrazioni alla piattaforma si sono triplicate.
I ricercatori di Check Point hanno rilevato un aumento delle nuove registrazioni di domini con nomi che si riferiscono a piattaforme di comunicazione video tra le quali spicca proprio “Zoom”, molte delle quali sospette.
I ricercatori hanno anche rilevato, durante le loro attività di analisi del fenomeno, file malevoli forse inviati attraverso campagne di phishing e malspam e che presentano una nomenclatura tipica:
“zoom-us-zoom_##########.exe”.
Questi file nascondono in realtà il trojan InstallCore, un programma che può installare sia applicazioni di terze parti arbitrarie che payload nocivi, in poche parole un programma o applicazione molto indesiderato.
Tra le conseguenze nocive di chi è vittima di InstallCore vi sono: installazione di adware o estensioni browser, di file, cartelle e modifiche di registro Windows. Insomma, dei veri e propri attacchi loschi che infettano i computer senza neanche accorgersene.
Zoom e la sua vulnerabilità
Probabilmente la causa di tutto questo è stata la vulnerabilità dell’applicazione.
In un primo momento l’app è stata criticata per aver fatto riscontrare diverse vulnerabilità di sicurezza, risolte fortunatamente in breve tempo. Il suo client Windows è stato trovato vulnerabile a una code injection del percorso UNC che esporrebbe le credenziali di accesso a Windows delle persone e persino portare all’esecuzione di comandi arbitrari sui loro dispositivi.
Altri due bug riguardano invece il client MacOS.
Patrick Wardle, ex hacker ora principale ricercatore di sicurezza presso JAMF, ne ha ampiamente parlato sul suo blog ripreso in varie community di settore.
“I due bug – afferma Wardle – possono essere lanciati da un hacker locale: è lì che qualcuno ha il controllo fisico di un computer vulnerabile. Una volta entrato, l’aggressore può ottenere e mantenere un accesso persistente nelle viscere del computer di una vittima, consentendogli di installare malware o spyware”.
Secondo Wardle, il primo bug è dovuto ad una “tecnica sospetta utilizzata da Zoom – ma anche dal malware Mac – per installare l’app nel Mac senza l’interazione dell’utente. Un hacker locale con privilegi utente di basso livello può forzare il programma di installazione Zoom con un codice dannoso per ottenere il massimo livello di privilegi utente, noto come root”. Grazie a questo livello di uso, gli aggressori possono accedere al sistema operativo MacOS principale semplificando l’esecuzione di malware o spyware senza che l’utente se ne accorga.
Mentre il secondo bug sfrutterebbe un difetto di Zoom nell’uso di webcam e microfono nei Mac. Zoom, come qualsiasi applicazione che usi questi due strumenti, prima richiede il consenso dell’utente. Wardle afferma che un aggressore può inserire un codice malevolo in Zoom che possa indurlo a dargli gli accessi a webcam e microfono di cui l’applicazione dispone. Ecco così che anche audio e video possono essere captati dall’hacker di turno.
Come comportarsi in questi casi?
Zoom si difende dicendo di mettere sempre al primo posto la sicurezza dei propri utenti ma in tutte le sue dichiarazioni ha comunque suggerito a tutti di modificare le proprie password. Segno che qualche sospetto sia fondato?
Sicuramente una cosa è certa: nessun software è sicuro di fronte ad un attacco hacker ma adottare delle piccole attenzioni per proteggere noi e i nostri dati è sempre altamente raccomandato.
Per sapere come Core Sistemi può aiutarvi a proteggere i vostri dati clicca qui.