با توجه به شرایط بوجود آمده در جهان و متعاقبا در کشور ناشی از همه‌گیری بیماری Covid-19 و لزوم به حداقل رساندن حضور پرسنل و کارشناسان در محل کار و الزام به انجام فعالیت ها بصورت دورکاری، ذکر چند نکته امنیتی برای کاهش ریسک و خطرات ناشی از ارتباطات از راه دور ضروری می باشد. دورکاری یا کار از راه دور به کارمندان یک سازمان، پیمانکاران، شرکای تجاری، فروشندگان و سایر کاربران این امکان را می‌دهد که کار خود را از مکان‌هایی غیر از مکان سازمان انجام دهند. دورکارها از ابزارهای مختلفی مانند رایانه‌های رومیزی و لپ‌تاپ‌ها، تلفن‌های هوشمند و تبلت‌ها برای خواندن و ارسال ایمیل، دسترسی به وبگاه‌ها، بررسی و ویرایش اسناد و کارهای دیگر استفاده می‌کنند. دستگاه‌های دورکارها ممکن است توسط سازمان، توسط اشخاص ثالث (پیمانکاران سازمان، شرکای تجاری یا فروشندگان) یا توسط خود کاربران کنترل شوند. اکثر کارمندان دورکار این امکان را دارند که به منابع محاسباتی غیرعمومی سازمان از مکان‌های خارجی، غیر از مکان سازمان، دسترسی داشته باشند.
دورکاری و راه‌کارهای دسترسی از راه دور به‌طور معمول نیاز به پشتیبانی از چندین هدف امنیتی دارند. این موارد از طریق ترکیبی از ویژگی‌های امنیتی که در راه‌کارهای دسترسی از راه دور قرار داده می‌شود و کنترل‌های امنیتی اضافه‌ای که به دستگاه‌های کارمندان دورکار اعمال می‌شود و دیگر مؤلفه‌های راه‌کار دسترسی از راه دور، انجام می‌شود.
متداول‌ترین اهداف امنیتی فناوری‌های دورکاری و دسترسی از راه دور شامل اطمینان از غیر قابل خوانده شدن داده‌های ذخیره‌شده‌ی کاربر توسط بخش‌های غیرمجاز در ارتباطات با دسترسی از راه دور (محرمانگی)، تشخیص هرگونه تغییر عمدی یا غیرعمدی در ارتباطات دسترسی از راه دور و اطمینان دسترسی به منابع به کاربران از طریق دسترسی از راه دور است. برای دستیابی به این اهداف، تمام مؤلفه‌های دورکاری و راه‌کارهای دسترسی از راه دور، از جمله دستگاه‌های کارمندان دورکار، سرویس‌دهنده‌های دسترسی از راه دور و سرویس‌دهنده‌های داخلی که از طریق دسترسی از راه دور مورد دسترسی قرار می‌گیرند، باید در برابر انواع تهدیدات امن‌سازی شوند.
فناوری‌های دورکاری و دسترسی از راه دور اغلب به حفاظت اضافی احتیاج دارند زیرا طبیعت آن‌ها باعث می‌شود که، در مقایسه با فناوری‌هایی که فقط از داخل سازمان در دسترس هستند، در معرض افشای بالاتری نسبت به تهدیدهای بیرونی قرار داشته باشند. سازمان‌ها قبل از طراحی و به‌کارگیری دورکاری و راه‌کارهای دسترسی از راه دور، باید مدل‌های تهدیدات سیستم را برای سرویس‌دهنده‌های دسترسی از راه دور و منابعی که از طریق دسترسی از راه دور در دسترس هستند، تهیه کنند. مدل‌سازی تهدید شامل شناسایی منابع مورد علاقه و تهدیدات عملی، آسیب‌پذیری‌ها و کنترل‌های امنیتی مرتبط با این منابع است. سپس احتمال حملات موفقیت‌آمیز و تأثیرات آن‌ها را کمی‌سازی کرده و درنهایت این اطلاعات را تجزیه و تحلیل کرده تا تعیین کنند که چه کنترل‌های امنیتی باید بهبود یافته یا اضافه شوند. مدل‌سازی تهدید به سازمان‌ها کمک می‌کند تا الزامات امنیتی را شناسایی کرده و راه‌کارهای دسترسی از راه دور را به‌گونه‌ای طراحی کنند تا کنترل‌های لازم برای برآورده‌کردن الزامات امنیتی را در خود بگنجانند.

دریافت متن کامل اطلاعیه

رمزگشای ‫باج‌افزار GoGoogle توسط پژوهشگران شرکت امنیتی Bitdefender ارائه شد.

این باج‌افزار که اخیرا در ماه آوریل ۲۰۲۰ ظهور یافت به زبان Golang نوشته شده است و دو نسخه با دو الگوریتم رمزنگاری متفاوت را برای عملیات رمزگذاری فایل‌های قربانی به کار می‌گیرد که شامل رمزگذاری بر پایه XOR برای فایل‌های بزرگتر از ۱ مگابایت و RSA1024 برای فایل‌های کوچکتر می‌باشد.
این رمزگشا فقط نوع رمزگذاری بر پایه XOR را پوشش می‌دهد و به گفته آزمایشگاه Bitdefender رمزگشای فعلی به روز شده و RSA1024 را نیز پوشش خواهد داد.
در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوند .google می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.

به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://labs.bitdefender.com/2020/05/gogoogle-decryption-tool/

رمزگشای باج‌افزار Jigsaw توسط پژوهشگران شرکت امنیتی Emsisoft به روز شد.
این ‫باج‌افزار در سال ۲۰۱۶ ظهور پیدا کرد و تاکنون به پسوندهای مختلف منتشر شده و قربانیان بسیاری را آلوده کرده است. این باج‌افزار به ازای هر یک ساعت، به صورت نمایی تعداد فایل‌های رمزشده را حذف می‌کند. پس از ۷۲ ساعت، تمام فایل‌های رمزشده را نیز حذف می‌کند. البته در صورتی که پیش از ۷۲ ساعت باج‌افزار بسته شود و یا سیستم ری‌استارت شود، به صورت خودکار دوباره اجرا شده و به عنوان جریمه ۱۰۰۰ فایل رمز شده را بلافاصله حذف می‌کند. باج‌افزار Jigsaw از الگوریتم رمزنگاری AES 128 جهت رمزگذاری فایل‌های قربانیان خود استفاده می کند. در تصویر زیر پیغام باج‌خواهی این باج‌افزار را مشاهده می‌کنید:

در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار پسوند .fun دارند، می‌توانید از طریق این رمزگشا فایل‌های رمزشده خود را رمزگشایی کنید. شایان ذکر است، این رمزگشا 85 پسوند دیگر را نیز می‌تواند رمزگشایی کند.

نکته مهم:
پیش از اجرای رمزگشا، این مراحل را انجام دهید:

• در Task Manager، دو فرآیند firefox.exe و drpbx.exe را End Task نمایید.
• سپس در Run ویندوز خود msconfig را تایپ نموده و اجرا کنید.
• در پنجره msconfig به زبانه Startup رفته و تیک مربوط به موردی که با عنوان firefox.exe و آدرس %UserProfile%\AppData\Roaming\Frfx\firefox.exe می‌باشد را برداشته و سپس رمزگشا را اجرا نمایید.

لینک صفحه رسمی دانلود رمزگشا در سایت Emsisoft:

https://www.emsisoft.com/ransomware-decryption-tools/jigsaw

‫رمزگشای ‫باج‌افزار Shade توسط پژوهشگران شرکت امنیتی Kaspersky ارائه شد.
این باج‌افزار که به نام #Troldesh نیز شناخته می‌شود، در هفته انتهایی ماه آوریل ۲۰۲۰ با انتشار کلیدهای خصوصی قربانیان بعد از حدود ۶ سال به فعالیت خود پایان داد.

این باج‌افزار به طور خاص کشورهای روسیه و استقلال یافته از شوروی سابق را هدف می‌گرفت و اکنون با انتشار کلیدهای خصوصی امکان رمزگشایی داده‌های قربانیان توسط رمزگشای ارائه شده امکان پذیر است.
در صورتی که فایل‌های رمز شده شما توسط این باج‌افزار دارای پسوندهای

• xtbl
• breaking_bad
• ytbl
• heisenberg
• better_call_saul
• los_pollos
• da_vinci_code
• magic_software_syndicate
• windows10
• windows8
• no_more_ransom
• tyson
• crypted000007
• crypted000078
• dexter
• miami_california
• rsa3072
• decrypt_it

می‌باشند. می‌توانید با این رمزگشا فایل‌های خود را رمزگشایی کنید.
به منظور دانلود رمزگشا به لینک زیر مراجعه بفرمایید:

https://support.kaspersky.com/13059

محققان امنیتی در خصوص #‫آسیب‌پذیری جدیدِ در برخی از افزونه‌های محبوب سیستم‌های مدیریت آموزش آنلاین (LMS) به کاربران هشدار دادند. به گفته‌ی تیم تحقیقاتی Check Point سه افزونه وردپرس LearnPress, LearnDash و LifterLMS دارای نقص امنیتی می‌باشند به طوری که به دانشجویان و همچنین کاربران غیرمجاز اجازه می‎دهند تا اطلاعات شخصی کاربران ثبت شده را به سرقت برده و حتی به امتیاز و سطح دسترسی معلمان نیز دست یابند. سازمان‌ها و دانشگاه‌های بسیاری جهت برگزاری دوره‌های آموزش آنلاین از طریق وب سایت‌های مبتنی بر وردپرس، از این سیستم‌ها استفاده می‌کنند.
Omri Herscovici که یکی از محققان Check Point می‌باشد اذعان داشت: "به دلیل شیوع ویروس کرونا، ناچار به یادگیری از راه دور و از طریق فضای مجازی هستیم و از طرفی نیز آسیب‌پذیری‎‌های کشف شده به دانشجویان و حتی به کاربران غیرمجاز اجازه می‌دهد تا اطلاعات حساسی را بدست آورده و یا کنترل پلتفرم‌های LMS را به دست گیرند."
سه سیستم LMS نام برده، حدودأ بر روی 100,000 پلتفرم آموزشی دانشگاه‌های مختلف از جمله دانشگاه‌های فلوریدا، میشیگان و واشنگتن نصب شده‌اند و LearnPress و LifterLMS نیز از زمان انتشارشان به تنهایی بیش از 1.6 میلیون بار دانلود شده‌اند.

دریافت متن کامل اطلاعیه

«چارچوب مدیریت Salt» که توسط SaltStack توسعه‌یافته است، یک ابزار پیکربندی‌ست که برای نظارت و به‌روزرسانی سرورها در مراکز داده و محیط‌های ابری مورد استفاده قرار می‌گیرد.
چندین آسیب‌پذیری مهم در Salt به مهاجمان اجازه می‌دهد تا توکن‌های کاربر را از Saltmaster بازیابی کنند یا دستورات دلخواه خود را بر روی Salt minion اجرا کنند.
آسیب‌پذیری‌های Salt در SaltStack
محققان امنیتی F-Secure این آسیب‌پذیری را در نسخه های 2019.2.4 و 3000 کشف کردند.
این آسیب‌پذیری‌ها به یک مهاجم از راه دور که به سرور درخواست متصل شده‌است، اجازه می دهد همه مکانیسم‌های احراز هویت را دور بزند، پیام‌های کنترل دلخواهش را منتشر کند و در نتیجه هر فایلی را در هر مکانی از سیستم‌فایل اصلی، بخواند و بنویسد.
مهاجمان همچنین می‌توانند کلیدهای مخفی را به سرقت برده و به عنوان کاربر master احراز هویت کنند که این امر منجر به "دسترسی روت اجرای فرمان از راه دور بر روی mininon اصلی و تمام موارد متصل به آن می‌شود ."
CVE-2020-11651: در دسته‌ی ClearFuncs باقی‌‌مانده، به درستی درخواست‌های روش را تأیید نمی‌کند و به مهاجمان اجازه می‌دهد تا توکن‌های کاربر را بازیابی کنند.
CVE-2020-11652: با توجه به آزاد‌سازی نامناسب، دسترسی به برخی از روش‌ها را امکان‌پذیر کرده و مهاجم را قادر می‌سازد امکان دسترسی به دایرکتوری دلخواه برای کاربران معتبر را داشته باشد.
طبق اسکن انجام شده توسط F-Secure بیش از 6000 نمونه از این سرویس در معرض اینترنت عمومی قرار گرفته‌اند و در این خصوص گفته‌اند:
"ما انتظار داریم که هر هکر توانا و ماهری بتواند در کمتر از 24 ساعت از این موارد اکسپلویت‌های 100% مطمئنی را ایجاد کند. بنابراین به‌دلیل قابلیت‌اطمینان‌ بالا و سادگی در این بهره‌برداری، F-Secure کد بهره‌برداری را ارائه نخواهد داد. "
این آسیب‌پذیری‌ها به SaltStack گزارش و در نسخه‌ی 3000.2 کنونی وصله شده‌اند .به کاربران توصیه می‌شود به‌روزرسانی به آخرین نسخه را اعمال کنند.

طبق تحقیقات انجام‌شده، نرم‌افزارهای Foxit PDF Reader و PhantomPDF دارای نقص‌های امنیتی زیادی هستند که می‌توانند منجر به اجرای کد از راه دور شوند.
چهار نقص مختلف که نمره‌ی 8/7 را از استاندارد CVSS دریافت کرده‌‌اند، بر Foxit PDF Reader تأثیر می‌گذارند. دو مورد از این آسیب‌پذیری‌ها (CVE-2020-10899 و CVE-2020-10907) در XFA وجود دارند. قالب‌های XFA، الگوهایی هستند که در PDFها تعبیه شده‌اند و فیلدهای قابل پرکردن را دربر می‌گیرند. هر دو موضوع ناشی از عدم اعتبارسنجی وجود یک شیء، قبل از انجام عملیات بر روی آن شیء است. یک مهاجم می‌تواند از این آسیب‌پذیری‌ها برای اجرای کد در متن فرایند فعلی استفاده کند.
محققان همچنین نقص اجرای کد از راه دور "CVE-2020-10900" را در فرآیند AcroForms یافتند. AcroFormها فایل‌های PDF هستند که حاوی فیلدهای فرم هستند. دلیل وجود این آسیب‌پذیری این است که AcroForm قبل از انجام عملیات بر روی شیء، موجودیت آن‌ را تأیید نمی‌کند.
نقص مهم دیگر (CVE-2020-10906) در روش resetForm در PDFهای Foxit Reader وجود دارد. این آسیب‌پذیری به دلیل عدم بررسی شیء قبل از انجام عملیات بر روی آن، به‌وجود می‌آید و همین موضوع امکان یک حمله‌ی RCE به فرایند را برای مهاجم فراهم می‌کند.
PhantomPDF نیز چندین نقص با شدت بالا را وصله کرده است که نسخه‌های 9.7.1.29511 و قبل از آن را تحت تأثیر قرار می‌دهند. شدیدترین این نقص‌ها (CVE-2020-10890 و CVE-2020-10892) در ارتباط PhantomPDF API وجود دارند. فراخوانی‌های PhantomPDF API برای ایجاد PDF از انواع دیگر اسناد، ضروری است. این نقص‌ها ناشی از دستیابی به دستورهای "ConvertToPDF" و "CombineFiles" است که به مهاجمان اجازه‌ی نوشتن فایل بر روی داده‌های کنترل‌شده را می‌دهد.
علاوه بر این دو برنامه، این اشکالات امنیتی بر افزونه‌ی U3DBrowser Foxit نیز تأثیر می‌گذارد. این افزونه، به مشاهده‌ی یادداشت‌های سه‌بعدی تعبیه‌شده در اسناد PDF کمک می‌کند.
خوشبختانه این آسیب‌پذیری‌ها با انتشار Foxit Reader 9.7.2 ، Foxit PhantomPDF 9.7.2 و3D Plugin Beta 9.7.2.29539 برطرف شده‌اند و کاربران باید از به‌روزرسانی دستگاه‌های خود با نسخه‌های وصله‌شده برای جلوگیری از سوءاستفاده‌ی احتمالی، اطمینان حاصل کنند.

Sophos یک ‫آسیب‌پذیری SQL injection در محصول فایروال XG خود را که توسط مهاجمان در سراسر دنیا مورد اکسپلویت قرار گرفته بود، وصله کرد. این شرکت در تاریخ 22 آوریل 2020، از این نقص در فایروال خود مطلع گشت و براساس بررسی‌های انجام شده بیان کرد که هکرها می‌توانند سیستم‌هایی با رابط کاربری administration (HTTPS admin service) و یا پورتال کاربری در معرض منطقه WAN را مورد حمله قرار دهند. همچنین فایروالی که به صورت دستی پیکربندی شده باشد و پورتی مشابه admin یا User Porta را به اشتراک می‌گذارد نیز تحت تاثیر این آسیب‌پذیری قرار می‌گیرد.

دانلود پیوست

‫مایکروسافت به تازگی یک توصیه‌نامه امنیتی جهت به‌روزرسانی نرم‌افزارهای مایکروسافت که از کتابخانه‌ی Autodesk FBX استفاده می‌کنند، منتشر ساخته است.
FBX مخفف Filmbox و یک قالب اختصاصی متعلق به کتابخانه‌ی Autodesk است که برای ذخیره‌سازی داده های ضبط حرکت به همراه جریان‌های صوتی و ویدیویی استفاده می‌شود.
Autodesk که احتمالاً به دلیل نرم‌افزار طراحی AutoCAD مشهور است، دارای طیف وسیعی از محصولات برای رندرینگ ویدیو، ساخت بازی و غیره که شامل فرمت فایل FBX هستند، است.
این توصیه‌نامه، اصلاحات مربوط به شش نقص امنیتی مختلف که با شناسه‌های پشت سر هم CVE-2020-7080 تا CVE-2020-7085 ردیابی می‌شوند را معرفی می‌کند.
این آسیب‌پذیری‌ها، به دلیل طیف وسیعی از خطاهای برنامه‌نویسی مختلف است که اغلب به کدی که اشیای داده‌ی پیچیده را مدیریت می‌کند، وارد می‌شود. این خطاها عبارتند از سرریز بافر، سردرگمی نوع، استفاده پس از آزادسازی، سرریز عددصحیح و اشاره‌گر مقدار هیچ.
به نظر می‌رسد محصولات Microsoft Office 2019 و Office 365 ProPlus مایکروسافت، از فایل‌های FBX پشتیبانی می‌کنند و کدی که آن فایل‌ها را پردازش می‌کند از Autodesk می‌آید. بنابراین آخرین نسخه‌های Office شامل این شش آسیب‌پذیری هستند که پنج مورد از آن‌ها به مهاجم اجازه اجرای کد راه‌ دور را می‌دهد. به گفته‌ی مایکروسافت، اجزای 3D Viewer و Paint 3D از Windows 10 نیز تحت‌تأثیر این نقص‌ها قرار گرفته‌اند که این محصولات نیز به‌روزرسانی شده‌اند.
یک نقص اجرا کد راه‌دور که زمانی وجود دارد که یک برنامه‌ی آسیب‌پذیر، فایل مخربی را پردازش کند، اغلب بدین معنی است که بازکردن یا پیش نمایش آن فایل به راحتی می‌تواند به کلاهبرداران اجازه دهد بر روی رایانه‌ی کاربر، بدافزار نصب کنند. از آنجایی که کاربر هشدارهای معمولی مانند “do you want to download?” یا “this file wants to run a program, are you sure?” را مشاهده نخواهند کرد، بنابراین بازکردن این فایل کاملاً بی‌ضرر به نظر می‌رسد. به عبارت دیگر یک کلاهبردار می‌تواند یک فایل FBX (فایلی که برنامه نیست و قرار نیست برنامه باشد) به کاربر ایمیل کند که این امر ممکن است کاربر را در معرض خطری که مایکروسافت آن را click to run می‌خواند، قرار دهد.
نقص click to run، به اندازه‌ی یک نقص امنیتی که می‌تواند از راه دور، حتی زمانی که کسی وارد سیستم نشده است، مورد سوءاستفاده قرار گیرد، خطرناک نیست، زیرا لازم است حداقل کاربر وسوسه شود مورد مخرب را مشاهده کند. اما یک حمله‌ی click to run از مثلاً یک فایل سند که حاوی ماکروهایی است که باید به عنوان گام دوم پس از بازکردن سند مورد احراز هویت قرار گیرند، بسیار خطرناک‌تر است.
اگرچه ممکن است کاربران تصور کنند هیچ‌گاه یک فایل FBX را باز نخواهند کرد، چرا که بی‌ربط و بی اهمیت است، اما باید توجه داشته باشند که:
• کلاهبرداران به ندرت یک رایانامه‌ی فیشینگ را همزمان ارسال می‌کنند. حتی اگر کلاهبرداران، شرکت کاربر را مستقیماً هدف قرار نمی‌دهند، اما ممکن است پایگاه داده‌ی هرزنامه‌ی آن‌ها شامل چندین ورودی رایانامه برای هر دامنه‌ی شرکتی موجود در لیست باشد. لازم نیست کلاهبرداران همه را فریب دهند؛ آن‌ها می‌توانند هر کسی را هدف قرار دهند و اگر شخصی را فریب دهند، برنده می‌شوند.
• ویندوز به طور پیش‌فرض پسوندهای فایل را نشان نمی‌دهد. فایلی به نام something.text.fbx معمولاً به صورت something.text نمایش داده خواهد شد که به صورت فریبنده‌ای ظاهر ایمنی دارد.
بنا به توصیه‌نامه‌ی مایکروسافت، هیچ راه‌حل یا فاکتور کاهش‌دهنده‌ای برای این آسیب‌پذیری‌ها شناسایی نشده است و لازم است هر چه سریعتر وصله‌کردن صورت پذیرد.
لازم است مشتریان Autodesk نیز محصولات متأثر Autodesk را برای به‌روزرسانی‌های لازم مورد بررسی قرار دهند. لیست Autodesk شامل نسخه‌های مختلف ابزارگان توسعه‌ی نرم‌افزار FBX، Maya، Motion Builder، Mudbox، 3ds Max، Fusion، Revit Flame، Infraworks، Navisworks و Autodesk AutoCAD است.

طی چند هفته اخیر محققان امنیتی در آزمایشگاه Morphisec آسیب‌پذیری جدیدی در برنامه Zoom که ابزاری برای برگزاری کنفرانس‌های ویدئویی است، کشف کردند. این آسیب‌پذیری مهاجم را قادر می‌سازد تا بدون اطلاع هیچ یک از شرکت‌کنندگان در جلسه، جلسه‌ی Zoom را ضبط کرده و مکالمات متنی آنها را ذخیره کند. این امکان با وجود غیرفعال کردن گزینه ضبط جلسه توسط شرکت‌کنندگان، نیز برای مهاجم وجود دارد.
نقطه شروع، بدافزاری است که خود را بدون نیاز به تعامل با کاربر یا فعال بودن ضبط جلسه، به فرآیند برنامه Zoom تزریق می‌کند. هیچ یک از شرکت‌کنندگان از ضبط و کنترل کامل جلسه توسط این بدافزار اطلاع پیدا نمی‌کنند.
در ادامه سناریو حمله در شش مرحله و در حالیکه هر دو قربانی و مهاجم از آخرین نسخه برنامه Zoom استفاده می‌کنند و همه‌ی گزینه‌های امنیتی از جمله آنتی ویروس فعال است، شرح داده شده است:
1. قربانی برای مهاجم لینک دعوت به جلسه را ارسال می‌کند.
2. مهاجم دعوت را پذیرفته و به جلسه Zoom می‌پیوندد.
3. قربانی از طریق گزینه chat پیامی به حاضرین در جلسه ارسال می‌کند. حالا مهاجم هم می‌تواند از همین طریق به ارسال و دریافت پیام متنی بپردازد.
4. مهاجم از قربانی درخواست ضبط جلسه دارد اما قربانی درخواست را رد کرده و گزینه ضبط جلسه توسط شرکت‌کنندگان را غیرفعال می‌کند.
5. با این حال مهاجم با اجرای کد مخرب که از آسیب‌پذیری جدید برنامه بهره می‌برد، ضبط جلسه را بدون اطلاع شرکت‌کنندگان آغاز می‌کند. لازم به ذکر است که در حالت عادی زمانیکه هر یک از شرکت‌کنندگان در حال ضبط جلسه باشند، برنامه با علائم مشخصی به دیگران اطلاع‌رسانی می‌کند.
6. پس از خاتمه جلسه، بدافزار، برنامه Zoom را به نحوی دستکاری می‌کند که نسخه ضبط شده‌ی جلسه در موقعیت دلخواه مهاجم ذخیره شود. در انتها مهاجم نسخه کامل و رمزگشایی شده‌ی جلسه را شامل مکالمات متنی، ویدئوهای به اشتراک گذاشته شده و غیره در اختیار خواهد داشت.
بدیهی است که هر فردی می‌توان با استفاده از دیگر ابزارهای موجود جهت ضبط صفحه نمایش، یک جلسه Zoom را ضبط کند اما این بدافزار حتی زمانیکه برنامه Zoom، minimize شده است قادر به ضبط جلسه و تمام آنچه در آن رخ می‌دهد، است. درنتیجه برنامه Zoom می‌تواند به عنوان نوعی RAT که توسط آنتی ویروس های معمول نیز قابل شناسایی نیست، برای تحت کنترل گرفتن از راه دور سیستم توسط مهاجم مورد بهره‌برداری قرار بگیرد.
بیش از 500 هزار حساب کاربری Zoom در دارک وب در حال خرید و فروش است و این موضوع خطر و احتمال جاسوسی در جلسات Zoom توسط مهاجمان را افزایش می‌دهد. با این حال این آسیب‌پذیری به اطلاع سازنده‌ی برنامه Zoom رسیده است و تا به این لحظه به‌روزرسانی برای رفع آن منتشر نشده است.
منبع:

https://blog.morphisec.com/zoom-malware-can-record-meetings-attack-simulation-shows-how