محققان نوع جدیدی از بدافزار به نام Vizom کشف کرده‌اند که از حملات هم‌پوشانی از راه دور برای حمله به دارندگان حساب بانکی برزیل استفاده می‌کند.

‫به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نوعی بدافزار جدید که شرکت IBM آن را Vizom نام‌گذاری کرده است در یک کمپین فعال مورد استفاده قرار گرفته است. این کمپین در سراسر برزیل برای به خطر انداختن حساب‌های بانکی از طریق خدمات مالی آنلاین طراحی شده است.

محققان امنیتی IBM، اظهار داشتند که این بدافزار از روش‌های جالبی برای پنهان ماندن و به خطر انداختن دستگاه‌های کاربر در زمان واقعی - یعنی تکنیک‌های پوشش از راه دور و سرقت DLL- استفاده می‌کند.

Vizom از طریق کمپین‌های فیشینگ مبتنی بر spam گسترش می‌یابد و خود را به عنوان نرم‌افزار محبوب ویدئوکنفرانس تبدیل می‌‌کند، ابزاری که به‌دلیل شیوع ویروس کرونا در تجارت و رویدادهای اجتماعی بسیار مهم شده است.

هنگامی که بدافزار بر روی یک کامپیوتر آسیب‌پذیر ویندوز قرار گرفت، Vizom ابتدا برای شروع زنجیره آلودگی به فهرست AppData حمله می‌کند. با کنترل سرقت DLL، بدافزار سعی خواهد کرد DLL های مخرب را با نامگذاری انواع مبتنی بر Delphi با نام هایی که در فهرست نرم‌افزار قانونی قرار دارد، مجبور به دانلود کند.

با ربودن“inherent logic” ، سیستم عامل برای دانلود بدافزارvizom فریب داده می‌شود . DLL با نام Cmmlib.dll، فایلی است که با zoom مرتبط است.

برای اطمینان از اینکه کد مخرب از" Cmmlib.dll "اجرا شده، نویسنده بدافزار لیست استخراج واقعی DLL قانونی را کپی کرده است اما برای اصلاح آن مطمئن شده و همه functionها را به همان آدرس هدایت می‌کند.

یک dropper سپس zTscoder.exe را از طریق خط فرمان راه اندازی می‌کند و payload دوم ،- با همان ترفند سرقت در مرورگر اینترنت Vivaldi، Trojan Access Remote (RAT)، از یک سرور راه دور استخراج می شود.

برای ایجاد ماندگاری، shortcutهای مرورگر دستکاری می‌شوند و مهم نیست که کاربر چه مرورگری را اجرا می کند، کد مخرب Vivaldi / Vizom در پس‌زمینه اجرا می‌شود.

در این مرحله بدافزار، بی‌سروصدا منتظر هرگونه نشانه دسترسی به خدمات بانکی آنلاین خواهد ماند. اگر نام عنوان یک صفحه وب با لیست هدف Vizom مطابقت داشته باشد به اپراتورها هشدار داده می‌شود و می‌توانند از راه دور به کامپیوتر آسیب‌دیده متصل شوند.

از آنجا که Vizom قبلاً قابلیت‌های RAT را به کار گرفته است، مهاجمان می‌توانند جلسه ای که به خطر افتاده را در دست بگیرند و محتوای آنها را بپوشانند تا قربانیان را برای ارسال اطلاعات دسترسی و اعتبار حساب‌های بانکی خود فریب دهند.

قابلیت‌های کنترل از راه دور همچنین از عملکردهای Windows API، مانند حرکت دادن نشانگر ماوس، وارد کردن input صفحه کلید و کلیک‌ها، سوءاستفاده می‌کند. Vizom همچنین می‌تواند اسکرین‌شات‌ها را از طریق ویندوز پرینت و ذره‌بین (magnifier) به‌دست بیاورد.

به منظور ایجاد پوشش‌های قانع‌کننده، این بدافزار فایل‌های HTML را تولید می‌کند و آنها را در حالت برنامه در Vivaldi لود می‌کند. سپس یک keylogger راه‌اندازی می‌شود، با ورودی رمزگذاری و بسته‌بندی شده و به سرور (command and control (c۲ مهاجم راه می‌یابد.

بدافزار هم‌پوشانی از راه دور در دهه گذشته در صحنه جرایم رایانه‌ای آمریکای لاتین جنبش فوق‌العاده‌ای پیدا کرده و به عنوان مجرم اصلی در منطقه معرفی شده است. هم‌اکنون، Vizom بر روی بانک‌های بزرگ برزیل تمرکز دارد، با این حال، معلوم شده است که همان شیوه‌ها علیه کاربران در سراسر آمریکای جنوبی استفاده می‌شود و قبلا نیز مشاهده شده که بانک های اروپا را نیز هدف قرار داده است.