Vizom Malware
Des chercheurs d'IBM ont découvert une nouvelle souche de logiciels malveillants qui tente de collecter des informations d'identification bancaires via des attaques par superposition à distance. Le nom donné à cette nouvelle menace est Vizom, et, du moins pour le moment, ses principales cibles sont les utilisateurs situés au Brésil.
La méthode de propagation de Vizom consiste à envoyer des e-mails de phishing contenant des pièces jointes contenant des logiciels malveillants. Pour éveiller le moins de soupçons possible, les pirates derrière la campagne déguisent leur création de malwares en outils de visioconférence populaires. De telles applications sont devenues une nécessité au lendemain de la pandémie COVID-19, de nombreux utilisateurs non avertis en technologie devant apprendre à travailler rapidement avec ces applications.
Une fois que la victime sans méfiance a exécuté les pièces jointes empoisonnées, elle supprime un mélange de fichiers légitimes et corrompus. La chaîne d'infection commence à partir du répertoire AppData. Vizom exploite des applications légitimes en les forçant à exécuter ses fichiers corrompus dans une tactique appelée détournement de DLL. Les pirates ont conçu les fichiers DLL de la menace pour qu'ils se présentent comme les vrais fichiers que les applications s'attendent à trouver dans leurs répertoires. Le fichier DLL principal de la menace est nommé «Cmmlib.dll», le nom identique d'un fichier associé à une application de visioconférence populaire.
Vizom passe ensuite à l'étape suivante de la chaîne d'attaque - la livraison d'une charge utile du cheval de Troie d'accès distant (RAT). Premièrement, il abuse d'un autre processus légitime appelé `` zTscoder.exe '' via l'invite de ligne de commande et le force à charger le dropper de la deuxième menace de malware. Il est contenu dans une archive .zip qui contient également une copie légitime du navigateur Vivaldi qui sera utilisé dans le cadre de l'attaque.
Une fois que le RAT est entièrement déployé, il donne à l'attaquant un contrôle significatif sur l'ordinateur compromis. Les pirates peuvent prendre des captures d'écran du système, surveiller des frappes spécifiques ou activer un module keylogger, contrôler la position de la souris et les clics et le clavier. Cependant, la principale activité menaçante est la création de superpositions lorsque l'utilisateur ciblé ouvre des sites Web bancaires spécifiques. Vizom reste caché et surveille les sessions de navigation de l'utilisateur compromis, en attendant qu'une correspondance avec sa liste de cibles apparaisse. Contrairement à certaines menaces de superposition distantes plus sophistiquées, Vizom effectue ce processus en comparant le titre de la fenêtre aux principales cibles de l'attaquant. Le système de superposition repose sur la génération par Vizom d'un fichier HTML qui est ensuite ouvert par le navigateur Vivaldi en mode application. Le résultat permet à l'attaquant de contourner l'interface utilisateur typique du navigateur et ainsi de ne pas compter sur la victime pour effectuer des actions à l'écran.
Pour obtenir la persistance, Vizom modifie les raccourcis du navigateur, donc quel que soit le navigateur utilisé par la victime, il pointera toujours vers le navigateur Vivaldi abandonné par la menace. Pour éviter le signe évident que quelque chose ne va pas lorsque l'utilisateur démarre son navigateur habituel, mais au lieu de cela, il voit Vivaldi s'ouvrir, les attaquants ont configuré le navigateur par défaut pour qu'il soit lancé en tant que processus enfant.
Les attaques par superposition à distance ont connu une augmentation significative dans la région de l'Amérique latine, et bien que Vizom soit déployé contre des utilisateurs au Brésil actuellement, les mêmes tactiques peuvent être facilement transférées dans des campagnes à travers l'Amérique du Sud ou même l'Europe.
