研究人员发现了一种新形式的恶意软件,利用远程覆盖攻击攻击巴西银行账户持有人。
新的恶意软件变体,称为,在巴西的一个积极的活动中被利用,旨在通过在线金融服务危害银行账户。
周二,IBM安全研究人员Chen Nahman、Ofir Ozer和Limor Kessem说,这些恶意软件使用有趣的策略来隐藏和实时危害用户设备,即,远程覆盖技术和DLL劫持。
Vizom通过基于垃圾邮件的网络钓鱼活动传播,并将自己伪装成流行的视频会议软件,这些软件由于冠状病毒的流行而成为企业和社交活动的关键工具。
一旦恶意软件登陆易受攻击的Windows PC,Vizom将首先攻击AppData目录以开始感染链。通过利用DLL劫持,恶意软件将试图通过使用合法软件在其目录中预期的名称命名自己的基于Delphi的变体来强制加载恶意DLL。
另请参见:新的Emotet攻击使用假Windows Update通过劫持系统的“固有逻辑”来引诱
,IBM称操作系统被诱骗将Vizom恶意软件作为合法视频会议文件的子进程加载。DLL名为Cmmlib.dll文件,一个与缩放相关的文件。
“以确保恶意代码从”Cmmlib.dll文件,“恶意软件的作者复制了该合法DLL的真实导出列表,但确保对其进行了修改,并将所有函数直接指向同一地址--恶意代码的地址空间,“研究人员说,
然后会发射滴管zTscoder.exe通过命令提示符和第二个有效负载,远程访问特洛伊木马(RAT)从远程服务器中提取出来,这与在Vivaldi Internet浏览器上执行的劫持技巧相同。
要建立持久性,浏览器快捷方式被篡改,无论用户试图运行什么浏览器,恶意的Vivaldi/Vizom代码都将在后台运行。
CNET:2020年最好的DIY家庭安全系统
恶意软件会静静地等待任何有人访问在线银行服务的迹象。如果网页的标题名称与Vizom的目标列表匹配,操作员会收到警报,并可以远程连接到受损的PC。
因为Vizom已经部署了RAT功能,攻击者可以接管受损会话并覆盖内容,诱使受害者提交其银行帐户的访问权限和帐户凭据。
远程控制功能还滥用Windows API功能,如移动鼠标光标、启动键盘输入和模拟单击。Vizom还可以通过Windows打印和放大镜功能抓取屏幕截图。
TechRepublic:教授创建网络安全营,鼓励女孩选择STEM职业
为了创建令人信服的覆盖,恶意软件生成HTML文件,然后以应用程序模式加载到Vivaldi中。然后启动一个键盘记录器,对输入进行加密、打包,然后迅速送到攻击者的指挥和控制(C2)服务器。
“远程覆盖恶意软件类在过去十年里在拉丁美洲网络犯罪领域获得了巨大的发展势头,使其成为该地区的头号罪犯,”IBM说目前,Vizom专注于巴西大型银行,然而,众所周知,针对南美各地的用户也使用相同的策略,而且已经观察到针对欧洲的银行。“有什么提示吗?通过WhatsApp |信号安全联系,电话+447713 025 499,或访问Keybase:charlie0
软件公司的亿万富翁CEO因涉嫌20亿美元的逃税计划被起诉,“pageType”:“article”}>Adobe补丁程序Magento bug,导致代码执行、客户列表篡改
