Malware Vizom: qué es, cómo funciona y cómo prevenirlo | Destacado malware

Análisis de malware

Malware Vizom: qué es, cómo funciona y cómo prevenirlo | Destacado malware

10 de febrero de por Pedro Tavares

El troyano Vizom es un malware activo dirigido a usuarios de banca en línea en Brasil que aprovecha la técnica de superposición de ventanas para robar datos del usuario. En este artículo profundizaremos en las técnicas, tácticas y procedimientos (TTP), cómo infecta los dispositivos de las víctimas y cómo se puede prevenir esta amenaza en general.

Introducción

El troyano Vizom se propaga a través de campañas de phishing y se hace pasar por software de videoconferencia popular para llegar a un gran número de víctimas. Estas herramientas de objetivo utilizadas por Vizom para propagarse en la naturaleza son cruciales hoy en día para las empresas y los eventos sociales, debido a la situación de la pandemia de COVID-19. Muchas personas utilizan software de videoconferencia para comunicarse en línea o reunirse en línea durante el trabajo remoto. La 1 presenta un diagrama de alto nivel del malware Vizom.

1: Cadena de infección y método de fraude de Vizom ( fuente )

El malware inicia su proceso de infección cuando la víctima descarga e instala el archivo de destino: el dropper inicial. Después de ejecutar el cuentagotas, un archivo ZIP con archivos DLL maliciosos en su interior se mueve a la carpeta APPDATA %temp%.

La siguiente lista muestra lo que desempaqueta el cuentagotas de Vizom después de llegar inicialmente a un nuevo dispositivo víctima.

2: Combinación de recursos legítimos y maliciosos del malware Vizom instalado durante la cadena de infección

Inyección de DLL para ejecutar la amenaza.

Después de colocar las DLL maliciosas en el disco, el malware abusa de un software de videoconferencia legítimo para cargar en la memoria las DLL maliciosas, una técnica también conocida como inyección de DLL. Al hacer esto, el malware Vizom aprovecha la ejecución de la DLL maliciosa como proceso secundario de un archivo de videoconferencia benigno. De hecho, este es un truco común utilizado por los delincuentes para evitar la detección de AV y dificultar su análisis.

Debido a que el sistema operativo Windows carga archivos DLL siguiendo una determinada estructura, cuando se inicia un ejecutable, busca archivos DLL dependientes en el mismo directorio desde el que se ejecuta. Este es el principal truco utilizado por los delincuentes en este momento.

En detalle, un sistema operativo Windows tiene algunas formas de cargar archivos DLL dependientes, a saber:

Como se describe en este caso, las DLL maliciosas de Vizom se guardan en el mismo directorio del archivo ejecutable que las carga en la memoria durante su ejecución. En este caso, el nombre de la DLL maliciosa se tomó de un popular software de videoconferencia: “Cmmlib.dll”.

Un detalle interesante es que el autor del malware copió la lista de exportación real de esa DLL legítima, pero todas las funciones tienen la misma dirección como se observa a continuación; de hecho, el espacio de direcciones del código malicioso.

3: Lista de exportación de Cmmlib.dll que muestra la misma dirección para todas las funciones

Descargando la siguiente etapa

La siguiente tarea es ejecutar una solicitud HTTP y descargar la siguiente etapa desde un depósito de AWS S3 en línea. El binario “zTscoder.exe” instalado inicialmente en la carpeta %temp% se utiliza para realizar esta actividad. En este punto, Vizom descarga otro archivo ZIP desde un servidor remoto.

“C:WindowsSysWOW64cmd.exe” /k cd “C:UsersNOMBRE DE USUARIOAppDataLocalTemp” zTscoder.exe salir

hxxps://galinhaborabora[.]s3[.]amazonaws.com/felicidadeviver[.]zip

En detalle, este archivo contiene en su interior una aplicación de navegador legítima llamada Vivaldi , un programa de navegador basado en Chromium.

Vivaldi se coloca en el sistema de destino junto con las DLL maliciosas del malware. Una vez más, las DLL de destino se cargan en la memoria utilizando la aplicación Vivaldi para evitar la detección. Vizom vuelve a utilizar la técnica de inyección de DLL descrita anteriormente.

4: Las DLL finales se cargan en la memoria

Técnica de persistencia de Vizom

Para garantizar que el malware se ejecute cada vez que se inicia el dispositivo del usuario, Vizom modifica los accesos directos del navegador y agrega la ruta maliciosa donde está instalado el software Vivaldi. Cuando se ejecuta, el navegador se inicia como hijo del proceso de Vivaldi (consulte la 4 arriba). Los accesos directos del navegador se modifican según la siguiente tabla.

5: Técnica de persistencia de Vizom (cambiando la ruta de acceso directo)

Capacidades troyanos

Vizom tiene algunas capacidades maliciosas que le permiten operar la cadena de infección después de instalarse en el dispositivo de la víctima. Esos componentes incluyen:

Al igual que otros troyanos activos, como Grandoreiro , Lampion y URSA , Vizom utiliza ventanas superpuestas para atraer a las víctimas cuando acceden a portales bancarios legítimos.

El malware monitorea la actividad del navegador y obtiene el título de la ventana del navegador comparándolo con las cadenas maliciosas codificadas dentro del binario. Si la cadena obtenida es uno de los portales bancarios de destino codificados, se inicia el proceso de superposición. Esta comparación ocurre continuamente en un bucle.

6: Monitoreo de pestañas de la ventana de Vizom y comparación de cadenas

7: Ventana superpuesta de Vizom (código fuente)

El malware Vizom utiliza sockets TCP para comunicarse con el servidor C2. En detalle, la comunicación con el servidor C2 se basa en un shell inverso donde la máquina infectada se comunica con el servidor atacante y un puerto de escucha recibe la conexión. Además, la comunicación de Vizom con el servidor C2 está cifrada con AES256 utilizando TCryptographicLibrary de Delphi.

Los mensajes enviados entre el dispositivo infectado y el servidor C2 están cifrados y utilizan un formato particular. Los datos cifrados y la clave están separados por un punto y coma (;), como se ve a continuación.

Al igual que otros troyanos brasileños, se monitorea toda la actividad de la víctima, incluidos los clics del mouse y las pulsaciones de teclas del teclado.

8: Pulsaciones de teclas del teclado a las que se accede a través de la API keybd_event

En este punto, los delincuentes pueden monitorear toda la actividad de la víctima, utilizando un portal administrativo remoto con toda la información exfiltrada y detalles confidenciales.

Medidas de prevención

Hoy en día, el malware latinoamericano ha abusado de las superposiciones para realizar su actividad maliciosa y al mismo tiempo atraer a las víctimas cuando acceden a portales bancarios legítimos. Este enfoque se ha observado en varios troyanos brasileños y se considera una forma eficaz de romper barreras y, por tanto, de evadir la detección de AV y EDR.

Aunque no existe una solución para evitar infecciones de malware, existen varias buenas prácticas que nos gustaría recomendar para mejorar la resistencia de un sistema y su protección:

Fuentes

Este nuevo malware utiliza ataques de superposición remota para secuestrar su cuenta bancaria , ZDNet

Se descubre un nuevo malware Vizom dirigido a clientes de bancos brasileños con ataques de superposición remota , SecurityIntelligence