Malware Vizom disfarçado de software de videoconferência sequestra contas bancárias brasileiras

Malware Vizom disfarçado de software de videoconferência sequestra contas bancárias brasileiras. Malware usa ataques remotos de sobreposição para enganar suas vítimas. 

Os pesquisadores descobriram uma nova forma de malware usando ataques de sobreposição remota para atingir os correntistas brasileiros, o Vizom se disfarça como um software de videoconferência popular com o qual muitos de nós contamos durante a pandemia.

A nova variante de malware, apelidada de Vizom pela IBM , está sendo utilizada em uma campanha ativa em todo o Brasil projetada para comprometer contas bancárias por meio de serviços financeiros online. 

Os pesquisadores da IBM Security Trusteer descobriram um novo código de malware e uma campanha ativa voltada para usuários de banco online no Brasil. O malware, cunhado como “Vizom” pela equipe, usa táticas familiares de ataque de sobreposição remota para assumir o controle dos dispositivos do usuário em tempo real, conforme a vítima se loga e inicia transações fraudulentas de sua conta bancária.

O que os pesquisadores acham interessante sobre o Vizom é a maneira como ele infecta e se implanta nos dispositivos dos usuários. Ele usa ‘sequestro de DLL‘ para entrar furtivamente em diretórios legítimos em máquinas baseadas no Windows, mascarado como um software de videoconferência popular e legítimo, e engana a lógica inerente do sistema operacional para carregar suas DLLs (Dynamic Link Libraries) maliciosas antes de carregar as legítimas que pertencem a esse espaço de endereço. Ele usa táticas semelhantes para operar o ataque.

 

Tendências recentes em malware bancário

A pandemia COVID-19 mudou o mundo de muitas maneiras e afetou especialmente a forma como trabalhamos . Já que tantas pessoas passaram a trabalhar em casa e quase todo mundo está usando software de videoconferência para substituir reuniões pessoais com amigos e colegas, a Vizom usa os binários de um software de videoconferência popular para abrir caminho para novos dispositivos.

Para operar o ataque, a Vizom usa os arquivos de mais um software legítimo, desta vez o navegador de Internet Vivaldi, que ajuda a disfarçar a atividade do malware e evitar a detecção dos controles do sistema operacional e do software antivírus.

O Vizom se espalha por meio de campanhas de phishing baseadas em spam e se disfarça como software de videoconferência popular, ferramentas que se tornaram cruciais para negócios e eventos sociais devido à pandemia do coronavírus. 

Uma visão panorâmica de como a Vizom opera mostra os principais componentes do ataque:


Fonte Security Intelligence : Fluxo de infecção da Vizom e método de fraude 

Hijacking de DLL da Vizom

Normalmente entregue por spam, depois que o Vizom é baixado por um usuário involuntário, ele encontra o caminho para o diretório AppData e inicia o processo de infecção. A lista de arquivos a seguir mostra o que o conta-gotas da Vizom descompacta depois que atinge um novo dispositivo. Esses arquivos vêm compactados em um arquivo .zip, que é excluído depois que os arquivos são extraídos para a pasta% temp% no sistema de destino.

Ao sequestrar a “lógica inerente” de um sistema, os pesquisadores afirmam que o sistema operacional é induzido a carregar o malware Vizom como um processo filho de um arquivo de videoconferência legítimo. A DLL é chamada Cmmlib.dll, um arquivo associado ao Zoom. 

Para garantir que o código malicioso seja executado a partir de “Cmmlib.dll “, o autor do malware copiou a lista de exportação real dessa DLL legítima, mas fez questão de modificá-la e de ter todas as funções direcionadas ao mesmo endereço – o código malicioso espaço de endereço “, dizem os pesquisadores. 

Um dropper iniciará o zTscoder.exe via prompt de comando e uma segunda carga, um cavalo de Troia de acesso remoto (RAT), é extraído de um servidor remoto – com o mesmo truque de sequestro executado no navegador de Internet Vivaldi. 

Para estabelecer a persistência, os atalhos do navegador são adulterados e, independentemente do navegador que o usuário tente executar, o código malicioso do Vivaldi / Vizom será executado em segundo plano. 

O malware irá então esperar silenciosamente por qualquer indicação de que um serviço de banco online está sendo acessado. Se o nome do título de uma página da web corresponder à lista de alvos da Vizom, os operadores serão alertados e poderão se conectar remotamente ao PC comprometido. 

Como a Vizom já implantou recursos RAT, os invasores podem assumir o controle de uma sessão comprometida e sobrepor o conteúdo para induzir as vítimas a enviar acesso e credenciais de conta para suas contas bancárias. 

Os recursos de controle remoto também abusam das funções da API do Windows, como mover o cursor do mouse, iniciar a entrada do teclado e emular cliques. O Vizom também pode fazer capturas de tela por meio das funções de impressão e lupa do Windows. 

Para criar sobreposições convincentes, o malware gera arquivos HTML e os carrega no Vivaldi no modo de aplicativo. Um keylogger é então lançado, com a entrada criptografada, empacotada e levada para o servidor de comando e controle (C2) do invasor. 

A classe de malware de sobreposição remota ganhou um grande impulso na arena do cibercrime latino-americano na última década, tornando-se o principal criminoso na região“, disse a IBM. “No momento, a Vizom se concentra em grandes bancos brasileiros, no entanto, as mesmas táticas são conhecidas por serem usadas contra usuários na América do Sul e já foram observadas visando bancos na Europa também.

Veja detalhes do ataque em: New Vizom Malware Discovered Targets Brazilian Bank Customers with Remote Overlay Attacks

 

Fonte: ZDNet & Security Intelligence

 

Veja também:

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Prudential alerta sobre vazamento de dados de Seguro de Vida Individual. 
  2. Sistemas do Superior Tribunal de Justiça (STJ) foram alvo de hackers r

Deixe sua opinião!