Δευτέρα, 30 Νοεμβρίου, 02:08
Αρχική security Vizom: Το νέο malware κανει hijack σε τραπεζικούς λογαριασμούς

Vizom: Το νέο malware κανει hijack σε τραπεζικούς λογαριασμούς

Το Vizom μεταμφιέζεται ως δημοφιλές «videoconferencing software», με τα meeting να γίνονται όλα διαδικτυακά εξαιτίας της πανδημίας.

Οι ερευνητές έχουν ανακαλύψει μια νέα μορφή malware χρησιμοποιώντας απομακρυσμένες επιθέσεις overlay για να χτυπήσει τους κατόχους τραπεζικών λογαριασμών στη Βραζιλία.

Η νέα παραλλαγή του malware, που ονομάζεται Vizom από την IBM, χρησιμοποιείται σε μια ενεργή καμπάνια σε ολόκληρη τη Βραζιλία που έχει σχεδιαστεί για να θέτει σε κίνδυνο τραπεζικούς λογαριασμούς μέσω διαδικτυακών χρηματοοικονομικών υπηρεσιών.

Vizom

Την Τρίτη, οι ερευνητές ασφαλείας της IBM, Chen Nahman, Ofir Ozer και Limor Kessem δήλωσαν ότι το malware χρησιμοποιεί ενδιαφέρουσες τακτικές για να παραμείνει κρυμμένο και να θέσει σε κίνδυνο τις συσκευές των χρηστών σε πραγματικό χρόνο – δηλαδή, τεχνικές απομακρυσμένου overlay και DLL hijacking.

Το Vizom εξαπλώνεται μέσω εκστρατειών phishing που βασίζονται σε ανεπιθύμητα μηνύματα και μεταμφιέζεται ως δημοφιλές λογισμικό τηλεδιάσκεψης – εργαλεία που έχουν καταστεί ζωτικής σημασίας για επιχειρήσεις και κοινωνικές εκδηλώσεις λόγω της πανδημίας του COVID-19.

Μόλις το malware προσγειωθεί σε έναν ευάλωτο Windows υπολογιστή, το Vizom θα χτυπήσει πρώτα το AppData directory για να ξεκινήσει η αλυσίδα μόλυνσης. Με την αξιοποίηση του DLL hijacking, το malware θα προσπαθήσει να αναγκάσει τη φόρτωση κακόβουλων DLL ονομάζοντας τις δικές του παραλλαγές που βασίζονται σε Delphi με ονόματα που αναμένονται από το νόμιμο λογισμικό στα directories τους.

Με το hijacking της «έμφυτης λογικής» ενός συστήματος, η IBM λέει ότι το λειτουργικό σύστημα εξαπατείται για να φορτώσει το λογισμικού Vizom ως θυγατρική διαδικασία ενός νόμιμου αρχείου τηλεδιάσκεψης. Το DLL ονομάζεται Cmmlib.dll, ένα αρχείο που σχετίζεται με το Zoom.

Στη συνέχεια, ένας dropper θα κάνει εκκίνηση του zTscoder.exe μέσω της γραμμής εντολών και ένα δεύτερο payload, ένα Remote Access Trojan (RAT) θα εξαχθεί από έναν απομακρυσμένο server – με το ίδιο τέχνασμα hijacking να εκτελείται στο πρόγραμμα περιήγησης διαδικτύου Vivaldi.

Για να διαπιστωθεί το persistence, τα browser shortcuts παραβιάζονται και ανεξάρτητα από το πρόγραμμα περιήγησης που ένας χρήστης προσπαθεί να εκτελέσει, ο κακόβουλος κώδικας Vivaldi / Vizom θα εκτελείται στο παρασκήνιο.

Το malware θα περιμένει κάθε ένδειξη ότι υπάρχει πρόσβαση σε μια διαδικτυακή τραπεζική υπηρεσία. Εάν ο τίτλος ενός webpage ταιριάζει με τη λίστα στόχων του Vizom, οι χειριστές θα ειδοποιηθούν και θα μπορούν να συνδεθούν εξ αποστάσεως στον παραβιασμένο υπολογιστή.

Καθώς το Vizom έχει ήδη αναπτύξει δυνατότητες RAT, οι εισβολείς μπορούν να αναλάβουν ένα παραβιασμένο session και να επικαλύπτουν περιεχόμενο για να εξαπατήσουν τα θύματα να δώσουν τα credentials των τραπεζικών τους λογαριασμών.

Πηγή πληροφοριών: zdnet.com

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

Samsung Galaxy smartwatch: Πώς να το συνδέσετε με το νέο σας κινητό

Η σύνδεση ενός Samsung Galaxy smartwatch με ένα νέο κινητό μπορεί να εξελιχθεί σε δύσκολή ή και ενοχλητική διαδικασία, καθώς δεν είναι...

Ποια ήταν τα πιο δημοφιλή και επικίνδυνα ransomware για το 2020;

Το 2020 ήταν μια πολύ καλή χρονιά για τις ransomware συμμορίες. Με την απότομη μετάβαση στην απομακρυσμένη...

Πώς να αποκτήσετε όλες τις παραγγελίες της Amazon την ίδια ημέρα

Εάν είστε από τους ανθρώπους που παραγγέλνουν πολλά πράγματα από την Amazon, όμως επιθυμείτε να λάβετε όλα τα πακέτα σας την ίδια...

Τρόπος εκκαθάρισης δεδομένων περιήγησης στο Safari με shortcut

Εάν χρησιμοποιείτε το Safari σε Mac και θέλετε να εκκαθαρίσετε γρήγορα το ιστορικό του προγράμματος περιήγησής σας χωρίς να ψάξετε όλο το...

COVID-19: Τετραπλασιάστηκαν οι DDoS επιθέσεις με στόχο το e-commerce

Οι DDoS επιθέσεις που στοχεύουν το e-commerce στην Ευρώπη έχουν τετραπλασιαστεί τους τελευταίους οκτώ μήνες. Σύμφωνα με έρευνα της Stormwall, μεταξύ Φεβρουαρίου...

2020: Το 1/5 των καταναλωτών έχει πέσει θύμα κλοπής στοιχείων ταυτότητας

Ένα στα πέντε άτομα έχει επηρεαστεί από απάτη που σχετίζεται με κλοπή στοιχείων ταυτότητας κατά το 2020....

Πώς να ρυθμίσετε τη διπλή SIM με eSIM σε συσκευή iPhone;

Εάν διαθέτετε μία συσκευή iPhone XR, XS, iPhone XS Max ή μεταγενέστερη έκδοση, έχετε τη δυνατότητα eSIM. Αυτό σημαίνει ότι υπάρχει μόνο...

Πώς να επιλέξετε ποιες επεκτάσεις θα εμφανίζονται στο toolbar του Edge

Οι επεκτάσεις στον Microsoft Edge μπορούν να κάνουν το πρόγραμμα περιήγησής σας πιο χρήσιμο. Αλλά μερικές φορές μπορεί να μην σας αρέσει...

COVID-19 εμβόλια: Η Βόρεια Κορέα χακάρει φαρμακευτικές

Η Νότια Κορέα, για την ακρίβεια η υπηρεσία πληροφοριών της, απέτρεψε τις προσπάθειες της Βόρειας Κορέας να εισβάλει σε εταιρείες της Νότιας...

Drupal: Ενημερώσεις ασφαλείας για την αντιμετώπιση exploits

Οι προγραμματιστές του συστήματος διαχείρισης περιεχομένου Drupal (CMS) κυκλοφόρησαν έκτακτες ενημερώσεις ασφαλείας λόγω της διαθεσιμότητας κάποιων exploits, που μπορούν να θέσουν σε...