This post is also available in: Português
Novo malware, Vizom, se baseia em ataques de overlay para invadir contas bancárias do Brasil.
Como uma das maiores economias do mundo, o Brasil se mostra cada vez mais atrativo para os criminosos virtuais. Prova disso é que pesquisadores descobriram uma nova forma de malware que usa ataques de overlay para atingir os correntistas brasileiros. Nesse contexto, quem tem uma conta bancária pode ser um alvo em potencial.
A nova variante de malware, apelidada de Vizom pela IBM, está sendo utilizada em uma campanha ativa em todo o Brasil, e foi projetada para comprometer contas bancárias por meio de serviços online.
Os pesquisadores de segurança da IBM Chen Nahman, Ofir Ozer e Limor Kessem disseram que o malware usa táticas diferenciadas para ficar escondido e comprometer os dispositivos dos usuários em tempo real – ou seja, técnicas de sobreposição remota e sequestro de DLL.
Super escondido
O Vizom se espalha por meio de campanhas de phishing baseadas em spam, e se disfarça como um software de videoconferência. Programas do tipo se tornaram fundamentais para o funcionamento das empresas devido à pandemia.
Assim, quando o malware chega em um PC Windows vulnerável, primeiro atinge o diretório AppData para iniciar a cadeia de infecção. Ao realizar o sequestro de DLLs, o Vizom tentará forçar o carregamento de DLLs maliciosas, nomeando suas próprias variantes baseadas em Delphi com nomes esperados pelo software legítimo em seus diretórios.
Trata-se de uma estratégia inteligente, a ponto de o sistema operacional ser induzido a carregar o malware como um processo “filho” de um arquivo de videoconferência legítimo. A DLL é chamada Cmmlib.dll, um arquivo associado ao Zoom.
Para garantir que o código malicioso seja executado a partir do Cmmlib.dll, o autor do malware copiou a lista de exportação real dessa DLL legítima. Contudo, modificou-a de modo a ter todas as funções direcionadas ao mesmo endereço.
Um dropper iniciará o zTscoder.exe via prompt de comando e uma segunda carga – um cavalo de Troia de acesso remoto (RAT) – é extraída de um servidor remoto. O mesmo truque de sequestro é executado no navegador de Internet Vivaldi.
Para “marcar território”, os atalhos do navegador são adulterados e, independente do navegador que o usuário tente executar, o código malicioso do Vivaldi / Vizom será executado em segundo plano.
Vizom está de olho nos bancos
Esses processos todos preparam o malware para o momento em que houver qualquer indício de que um serviço de banco online está sendo acessado. Se o nome do título de uma página da web corresponder à lista de alvos da Vizom, os operadores serão alertados e poderão se conectar remotamente ao PC comprometido.
Como o Vizom já implantou recursos RAT, os invasores podem assumir o controle e sobrepor o conteúdo, induzindo as vítimas a enviarem seus logins e senhas aos cibercriminosos – ainda que não percebam isso. Afinal, para elas tudo vai parecer uma atividade normal.
Os recursos de controle remoto também abusam das funções da API do Windows, como mover o cursor do mouse, teclas do teclado e simular cliques. O Vizom também pode fazer capturas de tela por meio das funções de impressão e lupa do Windows, podendo captar ainda mais informações das vítimas.
“Malwares de sobreposição remota cresceram muito no cenário do cibercrime latino-americano na última década, e já está entre os principais na região”, disse a IBM em um comunicado. No momento, o Vizom se concentra em grandes bancos brasileiros. Entretanto, as mesmas táticas já foram vistas em países vizinhos, sendo observadas visando bancos na Europa também. Assim, o Brasil talvez seja a vítima da vez em um plano maior orquestrado por cibercriminosos – que estão longe de qualquer amadorismo.
This post is also available in: Português
