IBM研究人员发现一只恶意程序利用冒充视频软件及浏览器的手法,骗过安全软件侦测,并伺机发动远程叠加(remote overlay)攻击以劫持网银账户。
IBM安全部门下Trusteer部门研究人员首先发现一只名为Vizom的恶意程序,已在巴西流传攻击Windows PC用户,以洗劫其网银账户。
远程叠加恶意程序近年在南美甚为流行。和其他同类一样,Vizcom也是通过钓鱼邮件诱使用户下载某个假冒的软件,然后在合法程序掩护下暗中执行不法行为,例如搜集PC用户重要信息。这只恶意程序利用新冠肺炎疫情许多人远程工作,视频会议需求提升,而以市场上一个知名视频软件为名目,借此下载到用户计算机,作为它攻击的第一步。
IBM研究人员Chen Nahman指出,Vizcom较为特殊的一点是它感染及部署在受害计算机的方式。事实上,它使用的是现今越来越常见的DLL劫持(DLL hijacking)手法:诱使计算机下载恶意DLL档,再由Windows合法程序执行。当用户启动下载,会先以.zip档形式进入AppData目录,然后展开自动解压缩,里面包含了知名视频软件的binary及恶意DLL档。
虽然研究人员未指出这个视频软件为何,但是从Vizcom对恶意DLL档的命名“Cmmlib.dll”可以得知是Zoom。这冒名DLL使Windows以子程序允许执行,同时以Zoom的身份潜藏在用户计算机上,但是连向的是外部恶意服务器。
第二阶段,Vizcom又以DLL劫持手法下载Chromium浏览器Vivaldi的binary及恶意DLL档,然后在其掩护下开始攻击行动。这也是IBM将之命名为Vizcom的原因。Vizcom的攻击行动包括监视用户浏览器行为、对外创建C&C服务器即时连接、下载木马程序以及恶意叠加屏幕模块。借由这些程序的反复执行,Vizcom得以在Vivaldi浏览器掩护下搜集属意的网站信息,像是网络银行,还监听密码,再将这些信息发送给外部服务器。
Vizcom目前锁定的是巴西主要银行,但是研究人员提醒,同样手法之前也用在南美其他国家,而且也曾攻击欧洲银行用户。
此外Trusteer团队指出,Vizcom的手法并非特别高深,但其利用现今人们远程上班的需求下手,并以DLL劫持手法回避Windows及端点防护产品,是值得所有用户提高警觉之处。