研究人員Chen Nahman指出,Vizcom使用現今愈來愈常見的DLL hijacking手法:當用戶啟動下載惡意DLL檔,會先以.zip檔型式進入AppData目錄,然後展開自動解壓縮,裏面包含了知名視訊軟體的binary及惡意DLL檔。這冒名DLL使Windows 以子程序允許執行,同時以知名視訊軟體的身份潛藏在用戶電腦上,但是連向的是外部惡意伺服器。第二階段,Vizcom又以DLL劫持手法下載Chromium瀏覽器Vivaldi的binary及惡意DLL檔,然後在其掩護下開始攻擊行動。(圖片來源/IBM)

IBM研究人員發現一隻惡意程式利用冒充視訊軟體及瀏覽器的手法,騙過安全軟體偵測,並伺機發動遠端疊加(remote overlay)攻擊以劫持網銀帳戶。

IBM安全部門下Trusteer部門研究人員首先發現一隻名為Vizom的惡意程式,已在巴西流傳攻擊Windows PC使用者,以洗劫其網銀帳戶。

遠端疊加惡意程式近年在南美甚為流行。和其他同類一樣,Vizcom也是透過釣魚郵件誘使用戶下載某個假冒的軟體,然後在合法程序掩護下暗中執行不法行為,例如蒐集PC用戶重要資訊。這隻惡意程式利用武漢肺炎疫情許多人遠距工作,視訊會議需求提升,而以市場上一個知名視訊軟體為名目,藉此下載到用戶電腦,作為它攻擊的第一步。

IBM研究人員Chen Nahman指出,Vizcom較為特殊的一點是它感染及部署在受害電腦的方式。事實上,它使用的是現今愈來愈常見的DLL劫持(DLL hijacking)手法:誘使電腦下載惡意DLL檔,再由Windows合法程序執行。當用戶啟動下載,會先以.zip檔型式進入AppData目錄,然後展開自動解壓縮,裏面包含了知名視訊軟體的binary及惡意DLL檔。

雖然研究人員未指出這個視訊軟體為何,但是從Vizcom對惡意DLL檔的命名「Cmmlib.dll」可以得知是Zoom。這冒名DLL使Windows 以子程序允許執行,同時以Zoom的身份潛藏在用戶電腦上,但是連向的是外部惡意伺服器。

第二階段,Vizcom又以DLL劫持手法下載Chromium瀏覽器Vivaldi的binary及惡意DLL檔,然後在其掩護下開始攻擊行動。這也是IBM將之命名為Vizcom的原因。Vizcom的攻擊行動包括監視用戶瀏覽器行為、對外建立C&C伺服器即時連線、下載木馬程式以及惡意疊加螢幕模組。藉由這些程序的反覆執行,Vizcom得以在Vivaldi瀏覽器掩護下蒐集屬意的網站資訊,像是網路銀行,還側錄密碼,再將這些資訊傳送給外部伺服器。

Vizcom目前鎖定的是巴西主要銀行,但是研究人員提醒,同樣手法之前也用在南美其他國家,而且也曾攻擊歐洲銀行用戶。

此外Trusteer團隊指出,Vizcom的手法並非特別高深,但其利用現今人們遠距上班的需求下手,並以DLL劫持手法迴避Windows及端點防護產品,是值得所有用戶提高警覺之處。

熱門新聞

Advertisement