Вероятно, нападение киберзлоумышленников на программное обеспечение для видеоконференций в 2020 году было лишь вопросом времени. Такие приложения, как Zoom, в этом году получили настоящую выгоду из-за мирового кризиса здравоохранения. Исследователи обнаружили новую форму вредоносного ПО, которое использует удаленные атаки для атаки на владельцев счетов в бразильских банках, использующих программное обеспечение для видеоконференций.
Обнаружено вредоносное ПО для видеоконференций
Это был просто идеальный сценарий, которым могли воспользоваться киберзлоумышленники. Люди используют программное обеспечение для видеоконференций, такое как Zoom, чтобы встретиться с друзьями и семьей, пообщаться с коллегами или пройти дистанционное обучение. Многие из них никогда раньше не использовали это программное обеспечение и часто испытывают неуверенность или разочарование при входе в систему, поэтому они не беспокоятся о том, что их безопасность может оказаться под угрозой.
Исследователи IBM по безопасности Чен Нахман, Офир Озер и Лимор Кессем объявили, что они обнаружили вредоносное ПО, которое атакует пользователей программного обеспечения для видеоконференций. Его используют по всей Бразилии, чтобы атаковать пользователей программного обеспечения для онлайн-финансирования. Вредоносное ПО остается скрытым и компрометирует системы, используя методы удаленного наложения и перехвата DLL.
Как Визом компрометирует системы
Фишинговые кампании распространяют Vizom, маскируя его под Zoom. Как только вредоносная программа получает доступ к компьютеру с Windows, она попадает в каталог AppData и начинает заражать систему. Используя перехват DLL, он пытается принудительно загрузить вредоносные DLL, используя имена, которые, по мнению злоумышленников, находятся в каталогах программного обеспечения для вариантов на основе Delphi.
IBM объяснила, что, перехватив «внутреннюю логику» системы, операционная система обманом заставляет загрузить вредоносное ПО как дочерний процесс реального файла видеоконференции. Используемая DLL — Cmmlib.dll, файл, найденный в системах пользователей Zoom.
«Чтобы убедиться, что вредоносный код выполняется из «Cmmlib.dll», автор вредоносного ПО скопировал реальный список экспорта этой легитимной DLL, но обязательно изменил его и направил все функции по одному и тому же адресу — адресное пространство вредоносного кода», — объяснили исследователи.
zTscoder.exe запускается через командную строку, затем из удаленной службы извлекается троян удаленного доступа (RAT), вторая полезная нагрузка. Тот же трюк с захватом используется в интернет-браузере Vivaldi. Однако ярлыки браузера подделываются, поэтому независимо от того, какой браузер открывает пользователь, вредоносный код Vivaldi/Vizom будет работать в фоновом режиме.
Вредоносная программа просто сидит и ждет. Он ищет признаки того, что был осуществлен доступ к услуге онлайн-банкинга. Если заголовок веб-страницы соответствует названию в целевом списке, операторы получают предупреждение о необходимости удаленного подключения к компьютеру пользователя.
После того, как возможности RAT уже развернуты, киберзлоумышленники захватывают и накладывают контент, который обманным путем заставляет пользователя отправлять учетные данные для своего банковского счета.
Кроме того, функции Windows API скомпрометированы. К ним относятся управление курсором мыши, ввод с клавиатуры и щелчки. Снимки экрана даже создаются с помощью функций печати и увеличения Windows.
Вредоносная программа генерирует HTML-файлы и загружает их в Vivaldi в режиме приложения, создавая убедительные для пользователя наложения. Далее запускается кейлоггер. Входные данные шифруются, затем упаковываются и отправляются на сервер злоумышленника.
«Класс вредоносных программ удаления наложений за последнее десятилетие приобрел огромную популярность на арене киберпреступности в Латинской Америке, что сделало его главным преступником в регионе», — пояснили в IBM.
«В настоящее время Vizom фокусируется на крупных бразильских банках; однако известно, что та же тактика используется против пользователей по всей Южной Америке, а также против банков в Европе».
Если это возможно в Бразилии и Европе, то, похоже, это возможно где угодно. Это не означает, что вам нужно отказаться от использования Zoom, но это означает, что вы должны знать об этой практике. Конечно, не раскрывайте свои банковские данные, но для Zoom это не является чем-то особенным.
И не думайте, что, поскольку вы используете Mac, вы в безопасности от этого. В 2019 году на компьютерах Mac было обнаружено больше вредоносных программ, чем на ПК. Просто всегда нужно быть в курсе.