TLP: Amber
NIVEL DE RIESGO – [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Robo de información financiera.

Descripción

Investigadores de seguridad han identificado un nuevo código malicioso nombrado “Vizom”, que es utilizado para realizar ataques de superposición remota dirigidos a organizaciones bancarias. El nombre fue asignado debido a que imita la imagen de Zoom, una aplicación muy popular usada para videoconferencias.

Vizom, se propaga a través de campañas de correos electrónicos phishing, una vez que el código malicioso se encuentra en la PC objetivo con Windows, este ataca al directorio “AppData” para comenzar la cadena de infección, modifica algunas DLL y nombra sus propias variables con nombres comunes del sistema operativo, de esta forma engaña al equipo para ejecutar Vizom como proceso secundario. La DLL modificada es “Cmmlib.dll” y se usa para que el sistema operativo lo asocie con Zoom. Posteriormente con ayuda del símbolo del sistema (CMD) se descarga un troyano de acceso remoto (RAT) desde un servidor de comando y control (C&C).

Vizom presenta persistencia en los equipos disfrazándose de acceso directo de cualquier navegador, sin embargo, cuando el usuario ejecuta el acceso directo, el código malicioso se ejecuta como proceso secundario al navegador legítimo correspondiente.

Mientras el código malicioso es ejecutado en segundo plano, espera que el usuario acceda al servicio de la banca en línea, comparando el titulo de la página web con la lista de objetivos de Vizom, y cuando alguna de estas coincide, envía una alerta a los atacantes para conectarse al computador comprometido de forma remota.

Finalmente, los atacantes pueden tomar control de la sesión, superponer otras aplicaciones, abusar de las funciones de la API de Windows, así como mover el cursor del mouse, iniciar la entrada del teclado, emular clics y tomar capturas de pantalla, para de esta forma obtener la información bancaria de los usuarios y enviarla al servidor de comando y control (C&C) de los atacantes.

Cabe mencionar que hasta el momento solo se han presentado estas campañas en Brasil, sin embargo, la misma forma de operar se ha observado en ataques en otros países de Sudamérica y de Europa, por lo que se espera que comiencen a expandirse a otras partes del mundo.

Nivel de riesgo

  • Medio

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • 808ed13b13d31e116244e1db46082015
    • a555654f89aaf0d90a36c17e16014300
    • 1cd5806c5d6f9302d245ac0e5b453076
  • Direcciones IP:
    • 18.234.42[.]30

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Mantener actualizadas las herramientas de antimalware.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias