Para peneliti telah menemukan bentuk baru sebuah malware menggunakan serangan overlay jarak jauh untuk menyerang pemegang rekening bank Brasil.
Varian malware baru, yang dijuluki Vizom oleh IBM, sedang digunakan dalam kampanye aktif di seluruh Brasil yang dirancang untuk menyusupi rekening bank melalui layanan keuangan online.
Pada hari Selasa, peneliti keamanan IBM Chen Nahman, Ofir Ozer, dan Limor Kessem mengatakan malware tersebut menggunakan taktik yang menarik untuk tetap tersembunyi dan membahayakan perangkat pengguna secara real-time – yaitu, teknik overlay jarak jauh dan pembajakan DLL.
Vizom menyebar melalui kampanye phishing berbasis spam dan menyamar sebagai perangkat lunak konferensi video populer, alat yang telah menjadi sangat penting keberadaanya untuk bisnis dan acara sosial karena pandemi virus corona.
Setelah malware mendarat di PC Windows yang rentan, Vizom pertama-tama akan menyerang direktori AppData untuk memulai rantai infeksi. Dengan memanfaatkan pembajakan DLL, malware akan mencoba memaksa pemuatan DLL berbahaya dengan menamai varian berbasis Delphi miliknya sendiri dengan nama yang diharapkan oleh perangkat lunak yang sah di direktori mereka.
Dengan membajak “logika inheren” sistem, IBM mengatakan sistem operasi tersebut tertipu untuk memuat malware Vizom sebagai child proses dari file konferensi video yang sah. DLL bernama Cmmlib.dll, file yang terkait dengan Zoom.
Sebuah dropper kemudian akan meluncurkan zTscoder.exe melalui command prompt dan muatan kedua, sebuah Remote Access Trojan (RAT), diekstrak dari server jarak jauh – dengan trik pembajakan yang sama dilakukan pada browser Internet Vivaldi.
Karena Vizom telah menerapkan kemampuan RAT, penyerang dapat mengambil alih sesi yang dikompromikan dan overlay konten untuk mengelabui korban agar mengirimkan akses dan kredensial akun untuk rekening bank mereka. Vizom juga dapat mengambil tangkapan layar melalui fungsi cetak dan kaca pembesar Windows.
Berita selengkapnya:
Source: ZDNet
