Vizom Malware

Pesquisadores da IBM descobriram uma nova linhagem de malware que tenta coletar credenciais bancárias por meio de ataques remotos de sobreposição. O nome dado a essa nova ameaça é Vizom, e, pelo menos por enquanto, seus principais alvos são os usuários localizados no Brasil.

O método de propagação do Vizom é por meio da tática familiar de enviar e-mails de phishing contendo anexos com malware. Para levantar o mínimo possível de suspeitas, os hackers por trás da campanha disfarçam a sua criação de malware como ferramentas populares de videoconferência. Esses aplicativos tornaram-se uma necessidade após a pandemia do COVID-19, com muitos usuários que não entendem de tecnologia tendo que aprender a trabalhar com esses aplicativos rapidamente.

Uma vez que a vítima inocente executa os anexos de e-mail envenenados, ele instala uma mistura de arquivos legítimos e corrompidos. A cadeia de infecção começa no diretório AppData. O Vizom explora aplicativos legítimos, forçando-os a executar seus arquivos corrompidos em uma tática chamada sequestro de DLL. Os hackers projetaram os arquivos DLL da ameaça para se passarem por arquivos reais que os aplicativos esperam encontrar em seus diretórios. O arquivo DLL principal da ameaça é denominado 'Cmmlib.dll', cujo nome é idêntico a um arquivo associado a um aplicativo de videoconferência popular.

O Vizom então prossegue para a próxima fase da cadeia de ataque - a entrega de uma carga de Trojan de Acesso Remoto (RAT). Primeiro, ele abusa de outro processo legítimo chamado 'zTscoder.exe' por meio da linha de comando e força-o a carregar o segundo dropper da ameaça de malware. Ele está contido em um arquivo .zip que também contém uma cópia legítima do navegador Vivaldi, que será usada como parte do ataque.

Depois que o RAT é totalmente implantado, ele dá ao invasor um controle significativo sobre o computador comprometido. Os hackers podem fazer capturas de tela do sistema, monitorar pressionamentos de teclas específicos ou ativar um módulo keylogger, controlar a posição e cliques do mouse e o teclado. No entanto, a principal atividade ameaçadora é a criação de sobreposições quando o usuário-alvo abre sites de bancos específicos. O Vizom permanece oculto e monitora as sessões de navegação do usuário comprometido, esperando que apareça uma correspondência com a sua lista de alvos. Ao contrário de algumas ameaças de sobreposição remota mais sofisticadas, o Vizom executa esse processo comparando o título da janela aos principais alvos do invasor. O sistema de sobreposição depende do Vizom gerar um arquivo HTML que é então aberto pelo navegador Vivaldi no modo de aplicativo. O resultado permite ao invasor ignorar a interface do usuário típica do navegador e, portanto, não depender da vítima para realizar nenhuma ação na tela.

Para obter persistência, o Vizom modifica os atalhos do navegador, portanto, e, não importa qual navegador usado pela vítima, ele sempre apontará para o navegador Vivaldi abandonado pela ameaça. Para evitar o sinal óbvio de que algo está errado quando o usuário inicia o seu navegador normal, e, em vez dele, vê o Vivaldi se abrindo, os invasores configuram o navegador padrão para ser iniciado como um processo novo.

Os ataques de sobreposição remota tiveram um aumento significativo na região da América Latina e, embora o Vizom seja implantado contra usuários no Brasil atualmente, as mesmas táticas podem ser facilmente transferidas para campanhas em toda a América do Sul ou mesmo na Europa.