Este novo malware usa ataques remotos de sobreposição para sequestrar sua conta bancária

Os pesquisadores descobriram uma nova forma de malware usando ataques de sobreposição remota para atingir os correntistas brasileiros.

A nova variante de malware, apelidada de Vizom pela IBM , está sendo utilizada em uma campanha ativa em todo o Brasil projetada para comprometer contas bancárias por meio de serviços financeiros online. 

Na terça-feira, os pesquisadores de segurança da IBM Chen Nahman, Ofir Ozer e Limor Kessem disseram que o malware usa táticas interessantes para ficar escondido e comprometer os dispositivos dos usuários em tempo real – ou seja, técnicas de sobreposição remota e sequestro de DLL. 

A Vizom se espalha por meio de campanhas de phishing baseadas em spam e se disfarça como software de videoconferência popular, ferramentas que se tornaram cruciais para negócios e eventos sociais devido à pandemia do coronavírus. 

Quando o malware atinge um PC Windows vulnerável, o Vizom primeiro atinge o diretório AppData para iniciar a cadeia de infecção. Ao controlar o sequestro de DLLs, o malware tentará forçar o carregamento de DLLs maliciosas, nomeando suas próprias variantes baseadas em Delphi com nomes esperados pelo software legítimo em seus diretórios. 

Ao sequestrar a “lógica inerente” de um sistema, a IBM afirma que o sistema operacional é induzido a carregar o malware Vizom como um processo filho de um arquivo de videoconferência legítimo. A DLL é chamada Cmmlib.dll, um arquivo associado ao Zoom. 

“Para garantir que o código malicioso seja executado a partir de” Cmmlib.dll “, o autor do malware copiou a lista de exportação real dessa DLL legítima, mas fez questão de modificá-la e de ter todas as funções direcionadas ao mesmo endereço – o código malicioso espaço de endereço “, dizem os pesquisadores. 

Um dropper iniciará o zTscoder.exe via prompt de comando e uma segunda carga, um cavalo de Troia de acesso remoto (RAT), é extraído de um servidor remoto – com o mesmo truque de sequestro executado no navegador de Internet Vivaldi. 

Para estabelecer a persistência, os atalhos do navegador são adulterados e, independentemente do navegador que o usuário tente executar, o código malicioso do Vivaldi / Vizom será executado em segundo plano. 

O malware irá então esperar silenciosamente por qualquer indicação de que um serviço de banco online está sendo acessado. Se o nome do título de uma página da web corresponder à lista de alvos da Vizom, os operadores serão alertados e poderão se conectar remotamente ao PC comprometido. 

Como a Vizom já implantou recursos RAT, os invasores podem assumir o controle de uma sessão comprometida e sobrepor o conteúdo para induzir as vítimas a enviar acesso e credenciais de conta para suas contas bancárias. 

Os recursos de controle remoto também abusam das funções da API do Windows, como mover o cursor do mouse, iniciar a entrada do teclado e emular cliques. O Vizom também pode fazer capturas de tela por meio das funções de impressão e lupa do Windows. 

Para criar sobreposições convincentes, o malware gera arquivos HTML e os carrega no Vivaldi no modo de aplicativo. Um keylogger é então lançado, com a entrada criptografada, empacotada e levada para o servidor de comando e controle (C2) do invasor. 

“A classe de malware de sobreposição remota ganhou um grande impulso na arena do cibercrime latino-americano na última década, tornando-se o principal criminoso na região”, disse a IBM. “No momento, a Vizom se concentra em grandes bancos brasileiros, no entanto, as mesmas táticas são conhecidas por serem usadas contra usuários na América do Sul e já foram observadas visando bancos na Europa também.”

Fonte: https://www.zdnet.com/article/this-new-malware-uses-remote-overlay-attacks-to-hijack-your-bank-account