Cyberthreat.id - Peneliti keamanan dari IBM menemukan malware baru yang digunakan untuk mengambil alih rekening bank pengguna.

Dikutip dari ZD Net,  varian malware baru yang diberi nama Vizom itu menggunakan serangan jarak jauh untuk mengambil alih rekening bank pengguna Brazil melalui layanan keuangan online.

Pada Selasa (12 Oktober 2020), peneliti keamanan IBM, Chen Nahman, Ofir Ozer, dan Limor Kessem, mengatakan malware tersebut memiliki  taktik yang menarik untuk tetap tersembunyi dan membahayakan perangkat pengguna secara real-time, yakni menggunakan teknik overlay jarak jauh dan pembajakan DLL.

Menurut para peneliti, Vizom menyebar melalui penyebaran  phishing berbasis spam dan menyamar sebagai perangkat lunak konferensi video populer yang banyak digunakan selama pandemi covid-19.

Setelah malware berhasil menginfeksi PC Windows korban, Vizom pertama-tama akan menyerang direktori AppData untuk memulai rantai infeksi. Dengan memanfaatkan pembajakan DLL, malware akan mencoba memaksa pemuatan DLL berbahaya dengan menamai varian berbasis Delphi miliknya sendiri dengan nama yang diharapkan oleh perangkat lunak yang sah di direktori mereka.

Dengan membajak "logika inheren" sistem,  sistem operasi tersebut tertipu untuk memuat malware Vizom sebagai proses dari file konferensi video yang sah. DLL bernama Cmmlib.dll, file yang terkait dengan Zoom.

"Untuk memastikan bahwa kode berbahaya dijalankan dari  Cmmlib.dll, pembuat malware menyalin daftar ekspor sebenarnya dari DLL yang sah, tetapi memastikan untuk memodifikasinya dan memiliki semua fungsi yang langsung ke alamat yang sama dengan kode berbahaya," ungkap para peneliti.

Vizom kemudian akan meluncurkan zTscoder.exe melalui command prompt dan muatan kedua, Trojan Akses Jarak Jauh (RAT), diekstraksi dari server jarak jauh, dengan trik pembajakan yang sama dilakukan pada browser Internet Vivaldi. Untuk menetapkan persistensi, pintasan browser apapun yang digunakan pengguna akan dirusak dan kode Vivaldi / Vizom yang berbahaya akan berjalan di latar belakang perangkat pengguna.

Malware kemudian akan diam-diam menunggu indikasi bahwa layanan perbankan online sedang diakses. Jika nama judul halaman web cocok dengan daftar target Vizom, operator diberitahu dan dapat terhubung dari jarak jauh ke PC yang terinfeksi.

Karena Vizom telah menerapkan kemampuan RAT, penyerang dapat mengambil alih sesi yang dikompromikan dan menghamparkan konten untuk mengelabui korban agar mengirimkan akses dan kredensial akun untuk rekening bank korban.

Peneliti menambahkan, kemampuan kendali jarak jauh juga menyalahgunakan fungsi API Windows, seperti menggerakkan kursor mouse, memulai masukan keyboard, dan meniru klik. Vizom juga dapat mengambil tangkapan layar melalui fungsi cetak dan kaca pembesar Windows.

Untuk membuat overlay yang meyakinkan, malware menghasilkan file HTML dan kemudian memuat Vivaldi dalam mode aplikasi. Keylogger kemudian diluncurkan, dengan input dienkripsi, dikemas, dan diarahkan ke server command-and-control (C2) yang dikuasai penyerang.

"Malware dengan kemampuan overlay jarak jauh telah mendapatkan momentum yang luar biasa di arena kejahatan dunia maya Amerika Latin selama dekade terakhir, menjadikannya ancaman utama di kawasan ini."

Peneliti mengungkapkan, saat ini Vizom berfokus pada bank besar Brasil, namun, taktik yang sama diketahui digunakan terhadap pengguna di seluruh Amerika Selatan dan telah diamati menargetkan bank di Eropa juga.[]

Editor: Yuswardi A. Suud