Aggiornamenti recenti Novembre 21st, 2024 2:11 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
- Una vulnerabilità di un plugin di WordPress mette a rischio più di 4 milioni di siti
- Le falle di sicurezza nei toolkit ML più diffusi
Si finge Zoom e infetta il computer: ecco il malware Vizom
I pirati sfruttano la popolarità del software di videoconferenza per distribuirlo online. Una volta installato, cerca di rubare le credenziali per i servizi bancari.
Un malware studiato per infiltrarsi nei sistemi Windows sostituendo un file utilizzato da Zoom e rubare così le credenziali di accesso per i servizi di home banking. Vimoz, individuato dai ricercatori IBM Security Trusteer, è una delle minacce più originali comparse nelle ultime settimane.
Da un punto di vista tecnico, Vimoz è un classico trojan, che consente ai suoi autori di controllare in remoto alcune funzionalità del computer infetto. Le caratteristiche più interessanti del malware, però, riguardano la tecnica di diffusione e installazione.
Come spiegano nel report pubblicato su Internet i ricercatori che lo hanno scovato, Vimoz viene infatti diffuso attraverso campagne di spam e phishing, proponendo il file di installazione come un aggiornamento o una nuova versione di Zoom.
Uno stratagemma piuttosto banale, ma che in un periodo caratterizzato dalla pandemia da Covid 19 e dal conseguente utilizzo intensivo di strumenti di videoconferenza può contare su buone probabilità di avere successo.
Una volta che la vittima ha avviato il file di installazione sul computer, Vimoz avvia una complicata catena di attività per installare il suo payload. Per prima cosa installa una serie di file legittimi correlati a Zoom, tra i quali però c’è una DLL malevola (Cmmlib.dll) che viene inserita nella cartella di installazione.
La tecnica adottata dai pirati fa leva su alcune caratteristiche di Windows e, in particolare, sulle procedure che il sistema operativo usa per eseguire le DLL relative a un software. In questo caso, i pirati si assicurano l’esecuzione del codice contenuto al suo interno proprio grazie al fatto che la DLL malevola è memorizzata nella stessa cartella dell’eseguibile (legittimo) di Zoom.
A questo punto, Vizom avvia il download di un secondo payload che viene prelevato da un repository su cloud e che contiene, ancora una volta, un file di installazione di un software assolutamente insospettabile come Vivaldi, un browser freeware multipiattaforma.
Per garantire l’esecuzione del browser, Vizom modifica tutti i collegamenti interni a Windows in modo che, qualunque sia il browser che la vittima intende aprire, venga avviato comunque Vivaldi.
L’utente, però, vedrà comunque aprirsi il browser che ha avviato. Questo, però, verrà eseguito come una dipendenza di Vivaldi. L’obiettivo, infatti, è esclusivamente quello di mantenere attiva la DLL associata a Vivaldi e consentire così ai pirati informatici di monitorare la navigazione della vittima.
Il loro obiettivo, spiegano i ricercatori, è quello di sapere quando si collegano a un servizi odi home banking e sfruttare un classico sistema basato su un overlay a tutto schermo (consentito proprio dalle caratteristiche di Vivaldi) che gli consente di catturare degli screenshot dal computer infetto, mentre un modulo a parte si occupa di registrare tutto ciò che viene digitato sulla tastiera (comprese ovviamente le password) attraverso un keylogger.
Gli attacchi, spiegano i ricercatori, sarebbero per il momento concentrati sul territorio brasiliano. Le particolarissime caratteristiche del malware, però, potrebbero portare i cyber criminali ad allargare il loro campo d’azione o a estendere l’attività fornendone il codice ad altri pirati informatici, secondo la logica (ormai diffusissima) del “malware as a service”.
Condividi l'articolo
Il noto spyware GravityRAT diventa multipiattaforma
Programmi di fidelizzazione nel mirino dei pirati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno... -
Kaspersky ha collaborato a Synergia II, operazione... Kaspersky ha collaborato a Synergia II, operazione...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova... -
Una vulnerabilità di un plugin di WordPress mette a... István Márton, ricercatore di Wordfence, ha individuato... -
Le falle di sicurezza nei toolkit ML più diffusi La sicurezza dei toolkit ML continua a essere minacciata...
Ransomware: la serie
No posts found.
