Mais de 500.000 contas Zoom vendidas em fóruns de hackers na dark web

Mais de 500.000 contas Zoom vendidas em fóruns de hackers na dark web. Mais de 500.000 contas Zoom estão sendo vendidas nos fóruns da dark web e de hackers por menos de um centavo cada e, em alguns casos, distribuídas gratuitamente.

Essas credenciais são coletadas através de ataques de preenchimento de credenciais, em que os agentes de ameaças tentam acessar o Zoom usando contas vazadas em violações de dados mais antigas. Os logins bem-sucedidos são compilados em listas que são vendidas a outros hackers.

Algumas dessas contas do Zoom são oferecidas gratuitamente em fóruns de hackers, para que os hackers possam usá-las em brincadeiras com zoom-bomb e atividades maliciosas (veja mais em Zoom apresenta falhas e compromete sigilo das reuniões !). Outros são vendidos por menos de um centavo cada.

 

A empresa de inteligência de segurança cibernética Cyble  disse à BleepingComputer que, em 1º de abril de 2020, eles começaram a ver contas gratuitas do Zoom sendo postadas em fóruns de hackers para ganhar uma reputação crescente na comunidade de hackers. Essas contas são compartilhadas por sites de compartilhamento de texto em que os agentes de ameaças estão postando listas de endereços de email e combinações de senhas. 

No exemplo ao lado, 290 contas relacionadas a faculdades como a Universidade de Vermont, Universidade do Colorado, Dartmouth, Lafayette, Universidade da Flórida e muitas outras foram lançadas gratuitamente.

O BleepingComputer diz que entrou em contato com endereços de email aleatórios expostos nessas listas e confirmou que algumas das credenciais estavam corretas. 

Um dos usuário exposto disse ao BleepingComputer que a senha listada era antiga, o que reforça a tese de que algumas dessas credenciais provavelmente são causadas por ataques de preenchimento de credenciais mais antigos.

Contas vendidas a granel

Seguindo o BleepingComputer, depois de ver um vendedor postando contas em um fórum de hackers, o Cyble tentou comprar um grande número de contas em massa para que elas pudessem ser usadas para avisar seus clientes sobre a possível violação. A Cyble conseguiu comprar aproximadamente 530.000 credenciais de zoom por menos de um centavo cada, a US $ 0,0020 por conta.

As contas adquiridas incluem o endereço de e-mail da vítima, senha, URL da reunião pessoal e o HostKey . Cyble disse ainda à BleepingComputer que essas contas incluem contas de empresas conhecidas como Chase, Citibank, instituições educacionais e muito mais.  Para as contas que pertenciam aos clientes do Cyble, a empresa de inteligência conseguiu confirmar que eram credenciais de conta válidas.

Em comunicado à BleepingComputer, Zoom afirmou que eles já contrataram empresas de inteligência para ajudar a encontrar esses despejos de senhas, para que possam redefinir as senhas dos usuários afetados.

É comum que os serviços da Web que atendem aos consumidores sejam direcionados por esse tipo de atividade, que normalmente envolve maus atores testando um grande número de credenciais já comprometidas de outras plataformas para verificar se os usuários as reutilizaram em outros lugares. Esse tipo de ataque geralmente não afetam nossos grandes clientes corporativos que usam seus próprios sistemas de logon único. Já contratamos várias empresas de inteligência para encontrar esses despejos de senha e as ferramentas usadas para criá-los, bem como uma empresa que desligou milhares de sites tentando enganar usuários a fazerem o download de malware ou abrirem suas credenciais. Continuamos investigando, bloqueando contas que comprometemos, solicitando aos usuários que alterem suas senhas para algo mais seguro,e está pensando em implementar soluções tecnológicas adicionais para reforçar nossos esforços. “

Segundo a NBC News, o Zoom recusou-se a compartilhar detalhes sobre como as informações poderiam sair, mas muitos dos endereços de e-mail listados foram parte de violações de dados anteriores, que geralmente são vendidas e reembaladas em fóruns de hackers. “O Zoom leva a segurança do usuário a sério“, disse um porta-voz do Zoom em um email. 

Usando os dados publicados, alguém poderia acessar a sala de reunião pessoal de uma pessoa e iniciar essa sala. Eles poderiam convidar outras pessoas a se unirem enquanto representavam o host. Isso abre a porta para hackers que exploram os contatos de um usuário, como enviá-los por meio de convites do Zoom ou criar cenários para extorqui-los.

Um fórum de hackers, visto pela NBC News, discutiu o uso de uma ferramenta chamada OpenBullet – que permite aos usuários alimentar grandes conjuntos de nomes de usuário e senhas existentes para tentar entrar em sites diferentes – com sucesso no Zoom. Essa é uma estratégia comum conhecida como preenchimento de credenciais e aproveita as pessoas que reutilizam senhas e nomes de usuários.

Alterar senhas de zoom, se usadas em outro lugar

Como todas as empresas são afetadas por ataques de preenchimento de credenciais, é recomendado que você deve usar senhas exclusivas para cada site em que registrar uma conta.

Com esses ataques, utilizando contas expostas em violações de dados anteriores e vendidas online, o uso de uma senha exclusiva em cada site impedirá que uma violação de dados de um site o afete em outro site.

Você também pode verificar se o seu endereço de e-mail vazou em violações de dados através dos serviços de notificação de violação de dados Have I been PwnedCyble. Ambos os serviços listarão violações de dados que contêm seu endereço de email e confirmarão ainda mais que suas credenciais foram potencialmente expostas.

O zoom explodiu em popularidade, pois o distanciamento social e as ordens de ficar em casa obrigaram mais pessoas a confiar em videoconferências para se manterem conectadas. A empresa do Vale do Silício agora suporta mais de 200 milhões de usuários diários, contra 10 milhões antes da pandemia.

A plataforma também deu origem a uma nova forma de assédio – o Zoombombing – na qual uma pessoa indesejada entra em uma reunião do Zoom e é perturbadora. A preocupação de que a segurança de Zoom não estivesse pronta para esse enxame de novos usuários, levou a várias escolas, órgãos de governo e empresas, como a SpaceX, a proibir o uso do software.

Não importa como essas informações sejam divulgadas, há uma alta probabilidade de que o Zoom poderia tê-la impedido“, disse Lou Rabon, CEO e fundador do Cyber ​​Defense Group, que faz segurança de TI para as empresas. Ele explicou que esses tipos de ataques podem ser interrompidos se as empresas implementarem a autenticação de dois fatores.

 

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Hackers exploram Zero Day em Firewalls do Sophos XG
  2. Infection Monkey Guardicore utiliza técnicas de MITRE ATT&CK

Deixe sua opinião!