Vizom Malware
Forscher von IBM haben einen neuen Malware-Stamm entdeckt, der versucht, Bankdaten durch Remote-Overlay-Angriffe zu sammeln. Der Name dieser neuen Bedrohung lautet Vizom, und zumindest vorerst sind die Hauptziele Benutzer in Brasilien.
Die Weitergabemethode von Vizom basiert auf der bekannten Taktik, Phishing-E-Mails mit Anhängen mit Malware-Schnürung zu versenden. Um so wenig Verdacht wie möglich zu erregen, tarnen die Hacker hinter der Kampagne ihre Malware-Erstellung als beliebte Videokonferenz-Tools. Solche Anwendungen sind nach der COVID-19-Pandemie zu einer Notwendigkeit geworden, und viele nicht technisch versierte Benutzer müssen lernen, schnell mit diesen Anwendungen zu arbeiten.
Sobald das ahnungslose Opfer die vergifteten E-Mail-Anhänge ausführt, wird eine Mischung aus legitimen und beschädigten Dateien gelöscht. Die Infektionskette beginnt im AppData-Verzeichnis. Vizom nutzt legitime Anwendungen aus, indem es sie zwingt, ihre beschädigten Dateien in einer Taktik namens DLL-Hijacking auszuführen. Die Hacker haben die DLL-Dateien der Bedrohung so konzipiert, dass sie sich als echte Dateien darstellen, die die Anwendungen voraussichtlich in ihren Verzeichnissen finden. Die Haupt-DLL-Datei der Bedrohung heißt "Cmmlib.dll", der identische Name einer Datei, die einer beliebten Videokonferenzanwendung zugeordnet ist.
Vizom fährt dann mit der nächsten Stufe der Angriffskette fort - der Bereitstellung einer RAT-Nutzlast (Remote Access Trojan). Erstens missbraucht es einen anderen legitimen Prozess namens "zTscoder.exe" über die Eingabeaufforderung und zwingt ihn, den Dropper der zweiten Malware-Bedrohung zu laden. Es ist in einem ZIP-Archiv enthalten, das auch eine legitime Kopie des Vivaldi-Browsers enthält, die im Rahmen des Angriffs verwendet wird.
Sobald die RAT vollständig bereitgestellt ist, hat der Angreifer eine erhebliche Kontrolle über den gefährdeten Computer. Die Hacker können Screenshots des Systems machen, bestimmte Tastenanschläge überwachen oder ein Keylogger-Modul aktivieren, die Mausposition und Klicks sowie die Tastatur steuern. Die Hauptbedrohungsaktivität ist jedoch die Erstellung von Überlagerungen, wenn der Zielbenutzer bestimmte Bankwebsites öffnet. Vizom bleibt verborgen und überwacht die Browsersitzungen des gefährdeten Benutzers und wartet darauf, dass eine Übereinstimmung mit der Liste der Ziele angezeigt wird. Im Gegensatz zu einigen komplexeren Remote-Overlay-Bedrohungen führt Vizom diesen Vorgang durch, indem der Fenstertitel mit den Hauptzielen des Angreifers verglichen wird. Das Overlay-System basiert darauf, dass Vizom eine HTML-Datei generiert, die dann vom Vivaldi-Browser im Anwendungsmodus geöffnet wird. Das Ergebnis ermöglicht es dem Angreifer, die typische Benutzeroberfläche des Browsers zu umgehen und sich somit nicht darauf zu verlassen, dass das Opfer Aktionen auf dem Bildschirm ausführt.
Um Beständigkeit zu erreichen, ändert Vizom die Browserverknüpfungen. Unabhängig davon, welcher Browser vom Opfer verwendet wird, verweist Vizom immer auf den Vivaldi-Browser, der von der Bedrohung gelöscht wurde. Um das offensichtliche Anzeichen zu vermeiden, dass etwas nicht stimmt, wenn der Benutzer seinen normalen Browser startet, aber stattdessen Vivaldi öffnet, richten die Angreifer den Standardbrowser so ein, dass er als untergeordneter Prozess gestartet wird.
Remote-Overlay-Angriffe hatten in der Region Lateinamerikas einen deutlichen Anstieg verzeichnet, und während Vizom derzeit gegen Benutzer in Brasilien eingesetzt wird, kann dieselbe Taktik problemlos in Kampagnen in ganz Südamerika oder sogar Europa übertragen werden.
