Vizom Malware

I ricercatori di IBM hanno scoperto un nuovo ceppo di malware che tenta di raccogliere le credenziali bancarie tramite attacchi di overlay remoti. Il nome dato a questa nuova minaccia è Vizom e, almeno per ora, i suoi obiettivi principali sono gli utenti che si trovano in Brasile.

Il metodo di propagazione di Vizom è attraverso la tattica familiare di inviare e-mail di phishing con allegati contenenti malware. Per destare il minor sospetto possibile, gli hacker dietro la campagna mascherano la loro creazione di malware come strumenti di videoconferenza popolari. Tali applicazioni sono diventate una necessità all'indomani della pandemia COVID-19, con molti utenti non esperti di tecnologia che devono imparare a lavorare con queste applicazioni rapidamente.

Una volta che la vittima ignara esegue gli allegati di posta elettronica avvelenati, rilascia un misto di file legittimi e danneggiati. La catena di infezioni inizia dalla directory AppData. Vizom sfrutta le applicazioni legittime costringendole a eseguire i suoi file danneggiati in una tattica chiamata dirottamento DLL. Gli hacker hanno progettato i file DLL della minaccia in modo che si presentino come i file reali che le applicazioni si aspettano di trovare nelle loro directory. Il file DLL principale della minaccia si chiama "Cmmlib.dll", il nome identico di un file associato a una popolare applicazione di videoconferenza.

Vizom procede quindi alla fase successiva della catena di attacchi: la consegna di un payload RAT (Remote Access Trojan). Innanzitutto, abusa di un altro processo legittimo chiamato "zTscoder.exe" tramite il prompt della riga di comando e lo costringe a caricare il contagocce della seconda minaccia di malware. È contenuto in un archivio .zip che contiene anche una copia legittima del browser Vivaldi che verrà utilizzato come parte dell'attacco.

Una volta che il RAT è completamente distribuito, fornisce all'aggressore un controllo significativo sul computer compromesso. Gli hacker possono acquisire screenshot del sistema, monitorare sequenze di tasti specifiche o attivare un modulo keylogger, controllare la posizione del mouse, i clic e la tastiera. Tuttavia, la principale attività minacciosa è la creazione di sovrapposizioni quando l'utente mirato apre siti Web bancari specifici. Vizom rimane nascosto e monitora le sessioni di navigazione dell'utente compromesso, in attesa che venga visualizzata una corrispondenza con il suo elenco di obiettivi. A differenza di alcune minacce di overlay remoto più sofisticate, Vizom esegue questo processo confrontando il titolo della finestra con gli obiettivi chiave dell'aggressore. Il sistema di sovrapposizione si basa su Vizom che genera un file HTML che viene quindi aperto dal browser Vivaldi in modalità applicazione. Il risultato consente all'aggressore di aggirare la tipica interfaccia utente del browser e quindi di non fare affidamento sulla vittima per eseguire alcuna azione sullo schermo.

Per ottenere la persistenza, Vizom modifica le scorciatoie del browser, quindi indipendentemente dal browser utilizzato dalla vittima, indicherà sempre il browser Vivaldi lasciato cadere dalla minaccia. Per evitare il segno evidente che qualcosa non va quando l'utente avvia il suo browser abituale, ma invece vede Vivaldi aprirsi, gli aggressori impostano il browser predefinito da avviare come processo figlio.

Gli attacchi di overlay remoti hanno registrato un aumento significativo nella regione dell'America Latina e, sebbene Vizom sia attualmente schierato contro gli utenti in Brasile, le stesse tattiche possono essere trasferite facilmente nelle campagne in Sud America o addirittura in Europa.