Este novo malware usa ataques remotos de sobreposição para sequestrar sua conta bancária
A Vizom se disfarça como um software de videoconferência popular com o qual muitos de nós contamos durante a pandemia.
Os pesquisadores descobriram uma nova forma de malware usando ataques de sobreposição remota para atingir os correntistas brasileiros.
A nova variante de malware, apelidada de Vizom pela IBM , está sendo utilizada em uma campanha ativa em todo o Brasil projetada para comprometer contas bancárias por meio de serviços financeiros online.
Na terça-feira, os pesquisadores de segurança da IBM Chen Nahman, Ofir Ozer e Limor Kessem disseram que o malware usa táticas interessantes para ficar escondido e comprometer os dispositivos dos usuários em tempo real – ou seja, técnicas de sobreposição remota e sequestro de DLL.
A Vizom se espalha por meio de campanhas de phishing baseadas em spam e se disfarça como software de videoconferência popular, ferramentas que se tornaram cruciais para negócios e eventos sociais devido à pandemia do coronavírus.
Quando o malware atinge um PC Windows vulnerável, o Vizom primeiro atinge o diretório AppData para iniciar a cadeia de infecção. Ao controlar o sequestro de DLLs, o malware tentará forçar o carregamento de DLLs maliciosas, nomeando suas próprias variantes baseadas em Delphi com nomes esperados pelo software legítimo em seus diretórios.
Ao sequestrar a “lógica inerente” de um sistema, a IBM afirma que o sistema operacional é induzido a carregar o malware Vizom como um processo filho de um arquivo de videoconferência legítimo. A DLL é chamada Cmmlib.dll, um arquivo associado ao Zoom.
“Para garantir que o código malicioso seja executado a partir de” Cmmlib.dll “, o autor do malware copiou a lista de exportação real dessa DLL legítima, mas fez questão de modificá-la e de ter todas as funções direcionadas ao mesmo endereço – o código malicioso espaço de endereço “, dizem os pesquisadores.
Um dropper iniciará o zTscoder.exe via prompt de comando e uma segunda carga, um cavalo de Troia de acesso remoto (RAT), é extraído de um servidor remoto – com o mesmo truque de sequestro executado no navegador de Internet Vivaldi.
Para estabelecer a persistência, os atalhos do navegador são adulterados e, independentemente do navegador que o usuário tente executar, o código malicioso do Vivaldi / Vizom será executado em segundo plano.
O malware irá então esperar silenciosamente por qualquer indicação de que um serviço de banco online está sendo acessado. Se o nome do título de uma página da web corresponder à lista de alvos da Vizom, os operadores serão alertados e poderão se conectar remotamente ao PC comprometido.
Como a Vizom já implantou recursos RAT, os invasores podem assumir o controle de uma sessão comprometida e sobrepor o conteúdo para induzir as vítimas a enviar acesso e credenciais de conta para suas contas bancárias.
Os recursos de controle remoto também abusam das funções da API do Windows, como mover o cursor do mouse, iniciar a entrada do teclado e emular cliques. O Vizom também pode fazer capturas de tela por meio das funções de impressão e lupa do Windows.
Para criar sobreposições convincentes, o malware gera arquivos HTML e os carrega no Vivaldi no modo de aplicativo. Um keylogger é então lançado, com a entrada criptografada, empacotada e levada para o servidor de comando e controle (C2) do invasor.
“A classe de malware de sobreposição remota ganhou um grande impulso na arena do cibercrime latino-americano na última década, tornando-se o principal criminoso na região”, disse a IBM. “No momento, a Vizom se concentra em grandes bancos brasileiros, no entanto, as mesmas táticas são conhecidas por serem usadas contra usuários na América do Sul e já foram observadas visando bancos na Europa também.”
