ربما كانت مسألة وقت فقط قبل أن يضرب المهاجمون السيبرانيون برنامج مؤتمرات الفيديو في عام 2020. كانت تطبيقات مثل Zoom نعمة حسنة النية هذا العام بسبب الأزمة الصحية العالمية. اكتشف الباحثون شكلاً جديدًا من البرامج الضارة التي تستخدم هجمات التراكب عن بُعد لضرب أصحاب الحسابات المصرفية البرازيلية الذين يستخدمون برامج مؤتمرات الفيديو.
تم اكتشاف برامج ضارة لعقد المؤتمرات عبر الفيديو
لقد كان مجرد سيناريو مثالي للمهاجمين عبر الإنترنت للاستفادة منه. يستخدم الأشخاص برامج مؤتمرات الفيديو ، مثل Zoom ، للزيارة مع الأصدقاء والعائلة ، أو التواصل مع الزملاء ، أو التعلم عن بُعد. لم يستخدم الكثيرون البرنامج من قبل ، وغالبًا ما يكونون غير متأكدين أو محبطين عند تسجيل الدخول ، مما يتركهم غير قلقين بشأن المساومة على أمنهم.
أعلن باحثو الأمن في IBM Chen Nahman و Ofir Ozer و Limor Kessem أنهم اكتشفوا هذا البرنامج الضار الذي يهاجم مستخدمي برامج مؤتمرات الفيديو . يتم استخدامه في جميع أنحاء البرازيل لضرب مستخدمي البرامج المالية عبر الإنترنت. تظل البرامج الضارة مخفية أثناء قيامها بخرق الأنظمة باستخدام تقنيات التراكب عن بُعد واختطاف DLL.
كيف يفسد Vizom الأنظمة
انتشرت حملات التصيد الاحتيالي في Vizom ، متخفية في صورة Zoom. بمجرد وصول البرامج الضارة إلى جهاز كمبيوتر يعمل بنظام Windows ، فإنها تصل إلى دليل AppData لبدء إصابة النظام. باستخدام اختطاف DLL ، يحاول فرض تحميل مكتبات DLL الضارة ، باستخدام الأسماء التي يعتقد المهاجمون أنها موجودة في أدلة البرامج للمتغيرات المستندة إلى دلفي.
أوضحت شركة IBM أنه من خلال اختطاف “المنطق المتأصل” للنظام ، يتم خداع نظام التشغيل لتحميل البرامج الضارة كعملية فرعية لملف مؤتمرات فيديو حقيقي. DLL المستخدم هو Cmmlib.dll ، وهو ملف موجود في أنظمة مستخدمي Zoom.
“للتأكد من تنفيذ التعليمات البرمجية الضارة من” Cmmlib.dll “، قام مؤلف البرنامج الضار بنسخ قائمة التصدير الحقيقية لمكتبة الارتباط الديناميكي (DLL) المشروعة هذه ، ولكنه تأكد من تعديلها وجعل جميع الوظائف مباشرة على نفس العنوان – عنوان الرمز الضار الفضاء ، أوضح الباحثون.
يتم تشغيل zTscoder.exe عبر موجه الأوامر ، ثم يتم استخراج حصان طروادة للوصول البعيد (RAT) ، وهو حمولة ثانية ، من خدمة بعيدة. يتم تنفيذ نفس خدعة الاختطاف على متصفح الإنترنت Vivaldi. ومع ذلك ، يتم العبث باختصارات المتصفح بحيث بغض النظر عن المتصفح الذي يفتحه المستخدم ، سيتم تشغيل رمز Vivaldi / Vizom الضار في الخلفية.
البرمجيات الخبيثة تجلس في الخلف وتنتظر. إنه يبحث عن إشارة إلى أنه تم الوصول إلى خدمة مصرفية عبر الإنترنت. إذا كان عنوان صفحة الويب يطابق ما هو موجود في قائمة الهدف ، يتلقى المشغلون تنبيهًا للاتصال عن بُعد بجهاز الكمبيوتر الخاص بالمستخدم.
مع نشر إمكانات RAT بالفعل ، يتولى المهاجمون الإلكترونيون ويتراكبون المحتوى الذي يخدع المستخدم لإرسال بيانات اعتماد حسابه لحسابه المصرفي.
بالإضافة إلى ذلك ، يتم اختراق وظائف Windows API. يتضمن ذلك الاستيلاء على مؤشر الماوس وإدخال لوحة المفاتيح والنقرات. يتم بدء لقطات الشاشة من خلال وظائف الطباعة والمكبر في Windows.
تقوم البرامج الضارة بإنشاء ملفات HTML وتحميلها في Vivaldi أثناء وجودها في وضع التطبيق لإنشاء تراكبات مقنعة للمستخدم. بعد ذلك ، يتم تشغيل برنامج keylogger. يتم تشفير الإدخال ، ثم حزمه وإرساله إلى خادم المهاجم.
أوضحت شركة IBM: “اكتسبت فئة إزالة البرمجيات الخبيثة المتراكبة زخمًا هائلاً في ساحة الجرائم الإلكترونية في أمريكا اللاتينية خلال العقد الماضي ، مما يجعلها أكبر مذنب في المنطقة”.
“في ذلك الوقت ، تركز Vizom على البنوك البرازيلية الكبيرة ؛ ومع ذلك ، من المعروف أنه يتم استخدام نفس التكتيكات ضد المستخدمين في جميع أنحاء أمريكا الجنوبية وقد لوحظ بالفعل استهداف البنوك في أوروبا أيضًا “.
