Pesquisadores de segurança da IBM descobriram um novo tipo de malware que tem como alvo os usuários de serviços de home banking no Brasil. Batizado de “Vizom”, ele se espalha via e-mails de phishing, se disfarçando como um software de videoconferência. Uma vez instalado pode dar a um criminoso acesso total ao PC da vítima.
O Vizom usa uma técnica engenhosa para infectar um computador: depois de instalar o “software de videoconferência” ele baixa e instala suas bibliotecas de código (DLLs) como componentes de uma versão modificada de software legítimo, no caso o navegador Vivaldi.
Uma vez na máquina ele modifica os atalhos de todos os navegadores instalados no sistema para executar antes sua versão modificada do Vivaldi, carregar seu código e depois executar o navegador que o usuário tentou abrir, para que não levante suspeitas.
A partir daí o malware monitora todos os sites que o usuário acessa, e quando detecta o acesso a um banco notifica seus servidores de comando e controle (C2). Neste ponto, um operador remoto pode entrar em ação, monitorar tudo o que acontece na tela, mover o ponteiro do mouse, digitar texto e até mesmo capturar tudo o que o usuário digita. Além disso, o malware pode sobrepor páginas HTML em tela cheia, se passando por alertas e seções de um app do banco para capturar informações do usuário.
Segundo os pesquisadores este tipo de malware, conhecido como Remote Overlay, tem se tornado extremamente popuar entre os cybercriminosos na América Latina, e é a principal ameaça na região. No momento o Vizom está focado em usuários de grandes bancos brasileiros. As mesmas táticas, entretanto, já foram usadas contra outros usuários em bancos na América do Sul e Europa.
Fonte: IBM Security Intelligence
Tags: