محققان نوع جدیدی از بدافزار به نام Vizom کشف کردهاند که از حملات همپوشانی از راه دور برای حمله به دارندگان حساب بانکی برزیل استفاده میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، نوعی بدافزار جدید که شرکت IBM آن را Vizom نامگذاری کرده است در یک کمپین فعال مورد استفاده قرار گرفته است. این کمپین در سراسر برزیل برای به خطر انداختن حسابهای بانکی از طریق خدمات مالی آنلاین طراحی شده است.
محققان امنیتی IBM، اظهار داشتند که این بدافزار از روشهای جالبی برای پنهان ماندن و به خطر انداختن دستگاههای کاربر در زمان واقعی - یعنی تکنیکهای پوشش از راه دور و سرقت DLL- استفاده میکند.
Vizom از طریق کمپینهای فیشینگ مبتنی بر spam گسترش مییابد و خود را به عنوان نرمافزار محبوب ویدئوکنفرانس تبدیل میکند، ابزاری که بهدلیل شیوع ویروس کرونا در تجارت و رویدادهای اجتماعی بسیار مهم شده است.
هنگامی که بدافزار بر روی یک کامپیوتر آسیبپذیر ویندوز قرار گرفت، Vizom ابتدا برای شروع زنجیره آلودگی به فهرست AppData حمله میکند. با کنترل سرقت DLL، بدافزار سعی خواهد کرد DLL های مخرب را با نامگذاری انواع مبتنی بر Delphi با نام هایی که در فهرست نرمافزار قانونی قرار دارد، مجبور به دانلود کند.
با ربودن“inherent logic” ، سیستم عامل برای دانلود بدافزارvizom فریب داده میشود . DLL با نام Cmmlib.dll، فایلی است که با zoom مرتبط است.
برای اطمینان از اینکه کد مخرب از" Cmmlib.dll "اجرا شده، نویسنده بدافزار لیست استخراج واقعی DLL قانونی را کپی کرده است اما برای اصلاح آن مطمئن شده و همه functionها را به همان آدرس هدایت میکند.
یک dropper سپس zTscoder.exe را از طریق خط فرمان راه اندازی میکند و payload دوم ،- با همان ترفند سرقت در مرورگر اینترنت Vivaldi، Trojan Access Remote (RAT)، از یک سرور راه دور استخراج می شود.
برای ایجاد ماندگاری، shortcutهای مرورگر دستکاری میشوند و مهم نیست که کاربر چه مرورگری را اجرا می کند، کد مخرب Vivaldi / Vizom در پسزمینه اجرا میشود.
در این مرحله بدافزار، بیسروصدا منتظر هرگونه نشانه دسترسی به خدمات بانکی آنلاین خواهد ماند. اگر نام عنوان یک صفحه وب با لیست هدف Vizom مطابقت داشته باشد به اپراتورها هشدار داده میشود و میتوانند از راه دور به کامپیوتر آسیبدیده متصل شوند.
از آنجا که Vizom قبلاً قابلیتهای RAT را به کار گرفته است، مهاجمان میتوانند جلسه ای که به خطر افتاده را در دست بگیرند و محتوای آنها را بپوشانند تا قربانیان را برای ارسال اطلاعات دسترسی و اعتبار حسابهای بانکی خود فریب دهند.
قابلیتهای کنترل از راه دور همچنین از عملکردهای Windows API، مانند حرکت دادن نشانگر ماوس، وارد کردن input صفحه کلید و کلیکها، سوءاستفاده میکند. Vizom همچنین میتواند اسکرینشاتها را از طریق ویندوز پرینت و ذرهبین (magnifier) بهدست بیاورد.
به منظور ایجاد پوششهای قانعکننده، این بدافزار فایلهای HTML را تولید میکند و آنها را در حالت برنامه در Vivaldi لود میکند. سپس یک keylogger راهاندازی میشود، با ورودی رمزگذاری و بستهبندی شده و به سرور (command and control (c۲ مهاجم راه مییابد.
بدافزار همپوشانی از راه دور در دهه گذشته در صحنه جرایم رایانهای آمریکای لاتین جنبش فوقالعادهای پیدا کرده و به عنوان مجرم اصلی در منطقه معرفی شده است. هماکنون، Vizom بر روی بانکهای بزرگ برزیل تمرکز دارد، با این حال، معلوم شده است که همان شیوهها علیه کاربران در سراسر آمریکای جنوبی استفاده میشود و قبلا نیز مشاهده شده که بانک های اروپا را نیز هدف قرار داده است.