Le malware Vizom cible les utilisateurs de Windows

Les Brésiliens ont été mis en garde contre un nouveau malware nommé Vizom qui se fait passer pour un navigateur et un logiciel de visioconférence.

Vizom est un nouveau malware de superposition ciblant les utilisateurs de Windows afin de siphonner les données financières des victimes et vider leurs comptes bancaires. Les chercheurs disent que le malware manque de sophistication, il se rattrape en étant créatif et en utilisant l’écosystème Windows.

Trusteer, une branche de recherche d’IBM Security basée à Boston, a déclaré que le nouveau code était activement utilisé dans des campagnes ciblant les utilisateurs de banques en ligne au Brésil. Les logiciels malveillants de superposition sont répandus en Amérique latine et constituent l’une des principales menaces au cours de la dernière décennie.

Vizom est similaire à d’autres souches de logiciels malveillants de superposition car son vecteur d’attaque se fait via des campagnes de spam et d’hameçonnage livrées dans les boîtes de réception des victimes potentielles.

«Généralement livré par spam, une fois que Vizom est téléchargé par un utilisateur, il trouve son chemin dans le répertoire [Windows] AppData et lance le processus d’infection», a écrit Chen Nahman, chercheur sur les menaces de sécurité chez Trusteer.

Il a expliqué que le logiciel malveillant s’appelle «Vizom» car il exploite un code informatique légitime utilisé par le navigateur Vivaldi basé sur Chromium et des binaires d’un logiciel de visioconférence populaire que les chercheurs n’ont pas identifié par son nom.

Vizom

Pour commencer, le dropper télécharge un exécutable, puis décompresse le logiciel de visioconférence et un DLL de malware, a expliqué Nahman dans son explication de la chaîne d’infection du logiciel malveillant.

«Ce que nous avons trouvé intéressant à propos de Vizom, c’est la façon dont il infecte et se déploie sur les appareils des utilisateurs. Il utilise le « détournement de DLL » pour se faufiler dans des répertoires légitimes sur des machines Windows, masqué comme un logiciel de visioconférence légitime et populaire, et trompe la logique inhérente du système d’exploitation pour charger ses bibliothèques de liens dynamiques (DLL) malveillantes avant de charger les légitimes qui appartiennent à cet espace d’adressage. Il utilise des tactiques similaires pour mener l’attaque », a écrit Nahman.

Une fois infecté, Vizom utilise la technique ci-dessus pour se superposer à Windows de différentes manières, comme le pré-chargement de fichiers malveillants à partir des différents répertoires du système d’exploitation lors de l’exécution du logiciel malveillant.

Vizom évite les anti-virus

« Dans ce cas, le nom de la DLL malveillante provient d’un logiciel de visioconférence populaire: « Cmmlib.dll ». Pour s’assurer que le code malveillant est exécuté à partir de « Cmmlib.dll », l’auteur du malware a copié la véritable liste d’exportation de ce fichier DLL légitime mais s’assure de le modifier et d’avoir toutes les fonctions directement à la même adresse, l’espace d’adressage du code malveillant », écrit-il.

De même, pour se faufiler au-delà des atténuations des points de terminaison, le navigateur légitime Vivaldi est déposé sur le système cible aux côtés des DLL malveillantes du malware, également utilisées pour mener l’attaque, selon le rapport.

malware

La persistance du malware est maintenue en modifiant les « raccourcis du navigateur afin qu’ils mènent tous à ses propres exécutables et le maintiennent en arrière-plan, quel que soit le navigateur que l’utilisateur a tenté d’exécuter. »

Désormais, lorsqu’une victime lance son navigateur, le malware Vizom est chargé et déguisé en processus de navigateur Vivaldi afin d’augmenter ses chances de ne pas être détecté.

«Beaucoup de gens sont passés au télé-travail et presque tout le monde utilise la visioconférence… Vizom utilise les binaires d’un logiciel de visioconférence populaire pour ouvrir la voie à de nouveaux appareils», écrit-il.

« Vizom utilise les fichiers d’un autre logiciel légitime, cette fois le navigateur Internet Vivaldi, qui aide à masquer l’activité du malware et à éviter d’être détecté par les contrôles du système d’exploitation et les logiciels anti-virus », a-t-il ajouté.

Après l’infection

Après l’infection, le logiciel malveillant surveille l’activité du navigateur, communique avec le serveur de commande et de contrôle (C2) des attaquants, capture les frappes du clavier et déploie son écran de superposition au-dessus du site Web d’une banque que les attaquants ont présélectionné.

« Une fois qu’il a commencé à fonctionner pleinement sur un appareil infecté, Vizom, comme d’autres logiciels malveillants de superposition, surveille la navigation en ligne de l’utilisateur, en attendant une correspondance pour sa liste de cibles », a écrit le chercheur. «Puisque Vizom n’accroche pas le navigateur comme les autres logiciels malveillants plus sophistiqués, il surveille l’activité en comparant le titre de la fenêtre à laquelle l’utilisateur accède aux chaînes de caractère clés qui intéressent l’attaquant. Cette comparaison se produit continuellement en boucle.»

Une fois qu’une victime visite le site Web de la banque souhaitée, l’attaquant est alerté en temps réel de l’ouverture de la session bancaire. Vizom déclenche l’attaque en ouvrant un socket TCP et en associant le serveur C2. La communication avec le serveur C2 est un shell inversé que la machine infectée utilise pour communiquer avec le serveur attaquant, où un port d’écoute reçoit la connexion.

Phase de RAT

Ensuite, l’attaquant utilise un composant de cheval de Troie d’accès à distance de ce malware pour lancer l’interface de superposition et prendre le contrôle de la session du navigateur. Les chercheurs ont déclaré que les victimes sont ensuite amenées à fournir des informations personnelles identifiables (PII) et des informations financières, ce qui aide l’attaquant à effectuer des transactions frauduleuses à partir du compte bancaire de la cible.

Les données réelles dérobées aux cibles sont collectées avec un enregistreur de frappe puis envoyées au serveur C2 de l’attaquant. Il est à noter, selon Nahman, que Vizom « génère un fichier HTML à partir de chaînes de caractères chiffrées, puis l’ouvre avec le navigateur ‘Vivaldi’ en mode application. » Cela n’est pas typique des programmes malveillants de superposition similaires et permet à l’application d’être exécutée sur une seule page Web sans l’interface utilisateur typique du navigateur, ce qui empêche la victime infectée d’effectuer des actions sur l’écran.

« Vizom se concentre sur les grandes banques brésiliennes, cependant, les mêmes tactiques sont connues pour être utilisées contre les utilisateurs à travers l’Amérique du Sud et ont déjà été observées ciblant des banques en Europe également », a-t-il averti.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x