Este nuevo malware utiliza ataques de superposición remota para secuestrar su cuenta bancaria

Las agencias de ciberseguridad de EE. UU. Y el Reino Unido envían una alerta conjunta sobre el malware QSnatch\n\nVer ahora\n\nLos investigadores han descubierto una nueva forma de malware que utiliza ataques de superposición remota para atacar a los titulares de cuentas bancarias brasileñas.\n\nLa nueva variante de malware, denominada Vizom por IBM, se está utilizando en una campaña activa en todo Brasil diseñada para comprometer cuentas bancarias a través de servicios financieros en línea.\n\nEl martes, los investigadores de seguridad de IBM Chen Nahman, Ofir Ozer y Limor Kessem dijeron que el malware usa tácticas interesantes para permanecer oculto y comprometer los dispositivos de los usuarios en tiempo real, es decir, técnicas de superposición remota y secuestro de DLL. \u003cbr\u003e\n\nVizom se propaga a través de campañas de phishing basadas en spam y se disfraza de software de videoconferencia popular, herramientas que se han vuelto cruciales para las empresas y los eventos sociales debido a la pandemia del coronavirus.\n\nUna vez que el malware ha aterrizado en una PC Windows vulnerable, Vizom primero atacará el directorio AppData para comenzar la cadena de infección. Al aprovechar el secuestro de DLL, el malware intentará forzar la carga de DLL maliciosos nombrando sus propias variantes basadas en Delphi con nombres esperados por el software legítimo en sus directorios. \u003cbr\u003e\n\nVer también: Los nuevos ataques de Emotet usan señuelos falsos de Windows Update\n\nAl secuestrar la \"lógica inherente\" de un sistema, IBM dice que el sistema operativo es engañado para que cargue el malware Vizom como un proceso secundario de un archivo de videoconferencia legítimo. La DLL se llama Cmmlib.dll, un archivo asociado con Zoom. \u003cbr\u003e\n\n\"Para asegurarse de que el código malicioso se ejecute desde\" Cmmlib.dll \", el autor del malware copió la lista de exportación real de esa DLL legítima, pero se aseguró de modificarla y tener todas las funciones directamente en la misma dirección: el código malicioso espacio de direcciones \", dicen los investigadores.\n\nLuego, un cuentagotas iniciará zTscoder. \u003cbr\u003e exe a través del símbolo del sistema y una segunda carga útil, un troyano de acceso remoto (RAT), se extrae de un servidor remoto, con el mismo truco de secuestro realizado en el navegador de Internet Vivaldi.\n\nPara establecer la persistencia, los accesos directos del navegador se manipulan y no importa qué navegador intente ejecutar un usuario, el código malicioso de Vivaldi / Vizom se ejecutará en segundo plano.\n\nCNET: Los mejores sistemas de seguridad para el hogar de bricolaje de 2020\n\nLuego, el malware esperará en silencio cualquier indicación de que se está accediendo a un servicio bancario en línea. \u003cbr\u003e Si el nombre del título de una página web coincide con la lista de objetivos de Vizom, los operadores reciben una alerta y pueden conectarse de forma remota a la PC comprometida.\n\nComo Vizom ya ha implementado las capacidades de RAT, los atacantes pueden hacerse cargo de una sesión comprometida y superponer contenido para engañar a las víctimas para que envíen credenciales de acceso y cuenta para sus cuentas bancarias.\n\nLas capacidades de control remoto también abusan de las funciones de la API de Windows, como mover el cursor del mouse, iniciar la entrada del teclado y emular clics. \u003cbr\u003e Vizom también puede tomar capturas de pantalla a través de las funciones de impresión y lupa de Windows.\n\nTechRepublic: el profesor crea un campamento de ciberseguridad para inspirar a las niñas a elegir carreras STEM\n\nPara crear superposiciones convincentes, el malware genera archivos HTML y luego los carga en Vivaldi en modo de aplicación. Luego se inicia un registrador de teclas, con la entrada encriptada, empaquetada y enviada al servidor de comando y control (C2) del atacante. \u003cbr\u003e\n\n\"La clase de malware de superposición remota ha ganado un tremendo impulso en el ámbito del ciberdelito latinoamericano durante la última década, convirtiéndose en el principal infractor en la región\", dice IBM. \"En este momento, Vizom se enfoca en los grandes bancos brasileños, sin embargo, se sabe que se usan las mismas tácticas contra los usuarios en Sudamérica y ya se ha observado que apuntan a bancos en Europa\".\n\n¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0. \u003cbr\u003e