Esta descoberta foi detetada a partir de duas samples de malware pela Trend Micro. Uma delas encontrou uma backdoor que permitia aos atacantes obter acesso remoto, e outra instalava o Devil Shadow nos dispositivos.

De salientar que o instalador malicioso é muito similar à versão oficial e que contém ficheiros encriptados que vão desencriptar a versão do malware.

O malware vai matar todas as utilidades que estejam a correr aquando da instalação e abre a porta tcp 5650 para obter acesso remoto ao dispositivo infetado.

A outra sample analisada instala a Botnet e começa o processo de infeção a partir do instalador malicioso com o ficheiro designado por pycliend.cmd, que contém comandos maliciosos. Com a mesma sample, os atacantes incluem a cópia falsa do instalador do software para conseguirem enganar as vítimas. O instalador falso também começa a lançar código malicioso e comandos para persistência e comunicação.

Mais informações do blogue da Trend Micro: https://blog.trendmicro.com/trendlabs-security-intelligence/backdoor-devil-shadow-botnet-hidden-in-fake-zoom-installers/