Threat Database Malware Vizom Malware

Vizom Malware

Los investigadores de IBM han descubierto una nueva cepa de malware que intenta recopilar credenciales bancarias a través de ataques de superposición remota. El nombre que recibe esta nueva amenaza es Vizom y, al menos por ahora, sus principales objetivos son los usuarios ubicados en Brasil.

El método de propagación de Vizom es a través de la táctica familiar de enviar correos electrónicos de phishing que contienen archivos adjuntos con malware. Para levantar la menor sospecha posible, los piratas informáticos detrás de la campaña disfrazan su creación de malware como herramientas de videoconferencia populares. Estas aplicaciones se han convertido en una necesidad a raíz de la pandemia de COVID-19, y muchos usuarios sin conocimientos de tecnología tienen que aprender a trabajar con estas aplicaciones rápidamente.

Una vez que la víctima desprevenida ejecuta los archivos adjuntos de correo electrónico envenenados, suelta una mezcla de archivos legítimos y corruptos. La cadena de infección comienza en el directorio AppData. Vizom explota aplicaciones legítimas obligándolas a ejecutar sus archivos corruptos en una táctica llamada secuestro de DLL. Los piratas informáticos diseñaron los archivos DLL de la amenaza para que se hicieran pasar por archivos reales que las aplicaciones esperan encontrar en sus directorios. El archivo DLL principal de la amenaza se llama "Cmmlib.dll", el nombre idéntico de un archivo asociado con una aplicación de videoconferencia popular.

Luego, Vizom pasa a la siguiente etapa de la cadena de ataque: la entrega de una carga útil de Troyano de acceso remoto (RAT). Primero, abusa de otro proceso legítimo llamado 'zTscoder.exe' a través del indicador de la línea de comando y lo obliga a cargar el cuentagotas de la segunda amenaza de malware. Está contenido en un archivo .zip que también contiene una copia legítima del navegador Vivaldi que se utilizará como parte del ataque.

Una vez que la RAT está completamente implementada, le da al atacante un control significativo sobre la computadora comprometida. Los piratas informáticos pueden tomar capturas de pantalla del sistema, monitorear pulsaciones de teclas específicas o activar un módulo de registro de teclas, controlar la posición del mouse y los clics y el teclado. Sin embargo, la principal actividad amenazante es la creación de superposiciones cuando el usuario objetivo abre sitios web bancarios específicos. Vizom permanece oculto y monitorea las sesiones de navegación del usuario comprometido, esperando que aparezca una coincidencia con su lista de objetivos. A diferencia de algunas amenazas de superposición remota más sofisticadas, Vizom realiza este proceso comparando el título de la ventana con los objetivos clave del atacante. El sistema de superposición se basa en que Vizom genera un archivo HTML que luego es abierto por el navegador Vivaldi en modo de aplicación. El resultado permite al atacante evitar la interfaz de usuario típica del navegador y, por lo tanto, no depender de la víctima para realizar ninguna acción en pantalla.

Para lograr la persistencia, Vizom modifica los accesos directos del navegador, por lo que no importa cuál sea el navegador particular utilizado por la víctima, siempre apuntará al navegador Vivaldi lanzado por la amenaza. Para evitar la señal obvia de que algo anda mal cuando el usuario inicia su navegador habitual, pero, en cambio, ven a Vivaldi abriéndose, los atacantes configuraron el navegador predeterminado para que se inicie como un proceso secundario.

Los ataques de superposición remota habían experimentado un aumento significativo en la región de América Latina, y aunque Vizom se implementa contra usuarios en Brasil actualmente, las mismas tácticas se pueden transferir en campañas en América del Sur o incluso en Europa fácilmente.

Tendencias

Mas Visto

Cargando...