Vizom Malware
Onderzoekers bij IBM hebben een nieuwe malwarestam ontdekt die probeert bankreferenties te verzamelen via externe overlay-aanvallen. De naam die aan deze nieuwe dreiging wordt gegeven, is Vizom, en de belangrijkste doelwitten zijn, althans voorlopig, gebruikers in Brazilië.
De propagatiemethode van Vizom is via de bekende tactiek van het verzenden van phishing-e-mails met bijlagen met malware. Om zo min mogelijk argwaan te wekken, vermommen de hackers achter de campagne het maken van malware als populaire videoconferentietools. Dergelijke applicaties zijn een noodzaak geworden in de nasleep van de COVID-19-pandemie, waarbij veel niet-technisch onderlegde gebruikers snel met deze applicaties moeten leren werken.
Zodra het nietsvermoedende slachtoffer de vergiftigde e-mailbijlagen heeft uitgevoerd, laat het een mix van legitieme en beschadigde bestanden vallen. De infectieketen begint vanuit de AppData-directory. Vizom maakt misbruik van legitieme applicaties door ze te dwingen de beschadigde bestanden uit te voeren in een tactiek die DLL-kaping wordt genoemd. De hackers hebben de DLL-bestanden van de bedreiging zo ontworpen dat ze zich voordoen als de echte bestanden die de applicaties verwachten te vinden in hun mappen. Het belangrijkste DLL-bestand van de dreiging heet 'Cmmlib.dll', de identieke naam van een bestand dat is gekoppeld aan een populaire videoconferentietoepassing.
Vizom gaat vervolgens door naar de volgende fase van de aanvalsketen: de levering van een Remote Access Trojan (RAT) -payload. Ten eerste misbruikt het een ander legitiem proces genaamd 'zTscoder.exe' via de opdrachtregel en dwingt het het de druppelaar van de tweede malwarebedreiging te laden. Het bevindt zich in een .zip-archief dat ook een legitieme kopie bevat van de Vivaldi-browser die zal worden gebruikt als onderdeel van de aanval.
Zodra de RAT volledig is geïmplementeerd, geeft het de aanvaller aanzienlijke controle over de gecompromitteerde computer. De hackers kunnen screenshots van het systeem maken, specifieke toetsaanslagen volgen, of een keyloggermodule activeren, de muispositie en klikken en het toetsenbord besturen. De belangrijkste bedreigende activiteit is echter het creëren van overlays wanneer de beoogde gebruiker specifieke bankwebsites opent. Vizom blijft verborgen en controleert de browsesessies van de gecompromitteerde gebruiker, in afwachting van een overeenkomst met de lijst met doelen om te verschijnen. In tegenstelling tot sommige meer geavanceerde externe overlay-bedreigingen, voert Vizom dit proces uit door de venstertitel te vergelijken met de belangrijkste doelen van de aanvaller. Het overlay-systeem vertrouwt erop dat Vizom een HTML-bestand genereert dat vervolgens door de Vivaldi-browser in toepassingsmodus wordt geopend. Het resultaat stelt de aanvaller in staat om de typische gebruikersinterface van de browser te omzeilen en dus niet te vertrouwen op het slachtoffer om acties op het scherm uit te voeren.
Om persistentie te bereiken, past Vizom browsersnelkoppelingen aan, dus ongeacht de specifieke browser die door het slachtoffer wordt gebruikt, zal deze altijd verwijzen naar de Vivaldi-browser die door de dreiging is achtergelaten. Om het voor de hand liggende teken te vermijden dat er iets mis is wanneer de gebruiker zijn gebruikelijke browser start, maar in plaats daarvan Vivaldi ziet openen, hebben de aanvallers de standaardbrowser ingesteld om te worden gestart als een kindproces.
Overlay-aanvallen op afstand waren aanzienlijk toegenomen in de regio van Latijns-Amerika, en hoewel Vizom momenteel wordt ingezet tegen gebruikers in Brazilië, kunnen dezelfde tactieken gemakkelijk worden overgedragen in campagnes in Zuid-Amerika of zelfs Europa.
