Вредоносное ПО для видеоконференцсвязи, Визом, Обнаружено

Новости Вредоносное ПО для видеоконференций

Вероятно, это был лишь вопрос времени, когда кибератаки поразят программное обеспечение для видеоконференцсвязи в 2020 году. Такие приложения, как Zoom, в этом году принесли пользу из-за мирового кризиса здравоохранения. Исследователи обнаружили новую форму вредоносного ПО, которое использует удаленные оверлейные атаки, чтобы поразить владельцев банковских счетов Бразилии, использующих программное обеспечение для видеоконференцсвязи.

Обнаружено вредоносное ПО для видеоконференцсвязи

Это был идеальный сценарий для кибер-злоумышленников. Люди используют программное обеспечение для видеоконференцсвязи, такое как Zoom, чтобы навещать друзей и родственников, общаться с коллегами или участвовать в удаленном обучении. Многие никогда раньше не использовали это программное обеспечение и часто не уверены или расстраиваются при входе в систему, не беспокоясь о нарушении своей безопасности.

Исследователи безопасности IBM Чен Нахман, Офир Озер и Лимор Кессем объявили, что они обнаружили это вредоносное ПО, которое атакует пользователей программного обеспечения для видеоконференцсвязи. Его используют по всей Бразилии, чтобы поразить пользователей финансового онлайн-программного обеспечения. Вредоносная программа остается скрытой, пока она компрометирует системы с помощью методов удаленного наложения и захвата DLL.

Как Vizom компрометирует системы

Фишинговые кампании распространяют Vizom, маскируя его под Zoom. Как только вредоносная программа получает доступ к компьютеру с Windows, она попадает в каталог AppData, чтобы начать заражение системы. Используя перехват DLL, он пытается принудительно загрузить вредоносные библиотеки DLL, используя имена, которые, по мнению злоумышленников, есть в каталогах программного обеспечения для вариантов на основе Delphi.

IBM объяснила, что, взломав "внутреннюю логику" системы, операционная система обманом загружает вредоносное ПО как дочерний процесс реального файла видеоконференцсвязи. Используемая DLL - это Cmmlib.dll, файл, который можно найти в системах пользователей Zoom.

Новости Видеоконференции Вредоносное ПО для настольных ПК

"Чтобы убедиться, что вредоносный код запускается из" Cmmlib.dll ", автор вредоносной программы скопировал реальный список экспорта этой легитимной DLL, но постарался изменить его, чтобы все функции были направлены на один и тот же адрес - адрес вредоносного кода. космос ", - пояснили исследователи.

zTscoder.exe запускается из командной строки, затем из удаленной службы извлекается троян удаленного доступа (RAT), вторая полезная нагрузка. Тот же трюк с захватом выполняется в интернет-браузере Vivaldi. Однако ярлыки браузера изменяются, поэтому независимо от того, какой браузер открывает пользователь, вредоносный код Vivaldi / Vizom будет работать в фоновом режиме.

Вредоносная программа просто сидит и ждет. Он ищет указание на доступ к услуге онлайн-банкинга. Если заголовок веб-страницы совпадает с заголовком в целевом списке, операторы получают предупреждение об удаленном подключении к ПК пользователя.

С уже развернутыми возможностями RAT кибер-злоумышленники захватывают и накладывают контент, который обманом заставляет пользователя отправлять учетные данные своего банковского счета.

Кроме того, скомпрометированы функции Windows API. К ним относятся захват курсора мыши, ввода с клавиатуры и щелчков. Скриншоты можно создавать даже с помощью функций печати и лупы Windows.

Новости Видеоконференцсвязь Вредоносное ПО Vizom

Вредоносная программа генерирует HTML-файлы и загружает их в Vivaldi в режиме приложения, чтобы создавать убедительные для пользователя наложения. Далее запускается кейлоггер. Входные данные зашифровываются, затем упаковываются и отправляются на сервер злоумышленника.

"В последнее десятилетие класс вредоносных программ удаления оверлейных программ получил огромное распространение на арене киберпреступности в Латинской Америке, что сделало их ведущим преступником в регионе", - пояснила IBM.

"В то время Vizom фокусируется на крупных бразильских банках; однако известно, что та же тактика используется против пользователей в Южной Америке и уже наблюдалась в отношении банков в Европе ".

Если это возможно в Бразилии и Европе, кажется, это было бы возможно где угодно. Это не значит, что вы должны отказываться от использования Zoom, но это означает, что вы должны знать об этой практике. Разумеется, не сообщайте свои банковские реквизиты, но для Zoom это ничем не отличается.

И не думайте, что вы застрахованы от этого, потому что работаете на Mac. В 2019 году на Mac было обнаружено больше вредоносных программ, чем на ПК.. Просто всегда нужно быть в курсе.