新型 Vizom 恶意软件使用 DLL Hijack Twist 锁定 Windows 用户

Andrew 2020-10-20
专栏 - 事件 发布于 2020-10-20 14:25:19 阅读 77 评论 0

警告巴西人警惕一种新的Vizom恶意软件,该恶意软件伪装成视频会议和浏览器软件。

巴西人被警告有一种针对Windows用户的新型覆盖恶意软件,目的是窃取受害者的财务数据并耗尽其银行帐户。研究人员说,这种被称为Vizom的恶意软件缺乏复杂性,可以弥补其对Windows生态系统的创造性滥用。

IBM Security位于波士顿的研究机构Trusteer说,新代码正在积极地用于针对巴西在线银行用户的活动中。它说,覆盖式恶意软件在拉丁美洲非常普遍,并且是过去十年来最大的违法者。

Vizom与其他覆盖恶意软件类似,其攻击媒介是通过向潜在受害者的收件箱发送的垃圾邮件和网络钓鱼活动来进行的。

Trusteer安全威胁研究人员Chen Nahman写道:“通常是由垃圾邮件提供的,一旦不知名的用户下载了Vizom,它就会进入[Windows] AppData目录并启动感染过程。”

他解释说,该恶意软件被称为“Vizom”,因为它利用了Chromium浏览器Vivaldi使用的一些合法计算机代码以及流行的视频会议软件中的二进制文件,研究人员并未按名称进行识别。

覆盖恶意软件针对Windows用户

Nahman在周一发布的恶意软件感染链细分中解释说,首先,该删除程序下载可执行文件,然后解压缩视频会议软件和恶意软件DLL负载。

“我们发现Vizom的有趣之处在于它感染和部署在用户设备上的方式。它使用“ DLL劫持”偷偷潜入基于Windows的计算机上的合法目录中,并被屏蔽为合法的流行视频会议软件,并欺骗操作系统的固有逻辑以在加载合法的动态链接库(DLL)之前对其进行加载。属于那个地址空间。它使用类似的战术进行攻击。”

一旦被感染,Vizom将使用上述技术以各种方式在Windows上进行安装,例如在恶意软件执行时从各种OS目录中预加载恶意文件。

杀毒回避

“在这种情况下,恶意DLL的名称来自流行的视频会议软件:’Cmmlib.dll’ 为了确保恶意代码是从“Cmmlib.dll”执行的,恶意软件的作者复制了该合法DLL的真实导出列表,但确保对其进行修改并将所有功能直接定向到同一地址-恶意代码的地址空间”他写道。

同样,为了逃避终结点技术的缓解,该报告称,合法的浏览器Vivaldi与恶意软件的恶意DLL一起被丢弃到了目标系统中,该DLL也被用来进行攻击。

通过修改“浏览器快捷方式,无论用户试图运行哪种浏览器,它们都将导致其自己的可执行文件并保持其在后台运行,从而保持了恶意软件的持久性。”

现在,当受害者启动其浏览器时,会加载Vizom恶意软件并将其伪装成Vivaldi浏览器进程,以增加其未被检测到的几率。

他写道:“自从有这么多人转移到在家工作,几乎每个人都在使用视频会议……Vizom使用流行的视频会议软件的二进制文件为新设备铺平了道路。”

他补充说:“ Vizom使用了另一个合法软件的文件,这次是Internet浏览器Vivaldi,它有助于掩盖恶意软件的活动并避免从操作系统控件和防病毒软件中检测出来。”

Post Infection Pest

感染后,恶意软件会监视浏览器活动,与攻击者的命令和控制(C2)服务器通信,捕获击键并将其覆盖屏幕部署到攻击者已预先选择的银行网站上方。

研究人员写道:“在开始在受感染设备上完全运行之后,Vizom与其他覆盖恶意软件一样,会监视用户的在线浏览,并等待其目标列表的匹配。” “由于Vizom不会像其他更复杂的恶意软件那样钩住浏览器,因此它通过比较用户正在访问的窗口标题与攻击者感兴趣的关键目标字符串来监视活动。这种比较连续不断地发生。”

一旦受害者访问了所需银行的网站,就会向攻击者实时发出公开银行会话警报。Vizom通过打开TCP套接字并链接C2服务器来触发攻击者。与C2服务器的通信是一个反向外壳,受感染的计算机使用该反向外壳与攻击服务器进行通信,在该服务器上,侦听器端口接收连接。

Phase RAT

接下来,攻击者利用其恶意软件的远程访问木马组件启动覆盖界面并控制浏览器会话。研究人员说,受害者然后被诱骗提供个人身份信息(PII)和财务信息,这有助于攻击者从目标的银行帐户中完成欺诈性交易。

从目标窃取的实际数据由键盘记录器收集,然后发送到攻击者的C2。根据Nahman的说法,值得注意的是Vizom“从加密的字符串生成HTML文件,然后在应用程序模式下使用’Vivaldi’浏览器打开它。” 他说,这不是类似的覆盖恶意软件的典型特征,它允许在没有典型浏览器用户界面的情况下在单个网页上执行该应用程序-防止受感染的受害者执行屏幕操作。

他警告说:“ Vizom专注于巴西的大型银行,但是,已知有相同的策略可用来打击整个南美的用户,并且已经观察到针对欧洲的银行。”

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!