Aggiornamenti recenti Giugno 18th, 2025 5:41 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Due bug LPE consentono di ottenere i privilegi di root su Linux
- Kali Linux 2025.2, la nuova versione ha anche un toolkit per l’hacking delle auto
- Fog ransomware, un ransomware anomalo a una finanziaria asiatica
- Anubis, un nuovo ransomware che integra un wiper
- EchoLeak: è arrivata la prima vulnerabilità zero clic per le IA (Microsoft 365 Copilot)
Si finge Zoom e infetta il computer: ecco il malware Vizom
I pirati sfruttano la popolarità del software di videoconferenza per distribuirlo online. Una volta installato, cerca di rubare le credenziali per i servizi bancari.
Un malware studiato per infiltrarsi nei sistemi Windows sostituendo un file utilizzato da Zoom e rubare così le credenziali di accesso per i servizi di home banking. Vimoz, individuato dai ricercatori IBM Security Trusteer, è una delle minacce più originali comparse nelle ultime settimane.
Da un punto di vista tecnico, Vimoz è un classico trojan, che consente ai suoi autori di controllare in remoto alcune funzionalità del computer infetto. Le caratteristiche più interessanti del malware, però, riguardano la tecnica di diffusione e installazione.
Come spiegano nel report pubblicato su Internet i ricercatori che lo hanno scovato, Vimoz viene infatti diffuso attraverso campagne di spam e phishing, proponendo il file di installazione come un aggiornamento o una nuova versione di Zoom.
Uno stratagemma piuttosto banale, ma che in un periodo caratterizzato dalla pandemia da Covid 19 e dal conseguente utilizzo intensivo di strumenti di videoconferenza può contare su buone probabilità di avere successo.
Una volta che la vittima ha avviato il file di installazione sul computer, Vimoz avvia una complicata catena di attività per installare il suo payload. Per prima cosa installa una serie di file legittimi correlati a Zoom, tra i quali però c’è una DLL malevola (Cmmlib.dll) che viene inserita nella cartella di installazione.
La tecnica adottata dai pirati fa leva su alcune caratteristiche di Windows e, in particolare, sulle procedure che il sistema operativo usa per eseguire le DLL relative a un software. In questo caso, i pirati si assicurano l’esecuzione del codice contenuto al suo interno proprio grazie al fatto che la DLL malevola è memorizzata nella stessa cartella dell’eseguibile (legittimo) di Zoom.
A questo punto, Vizom avvia il download di un secondo payload che viene prelevato da un repository su cloud e che contiene, ancora una volta, un file di installazione di un software assolutamente insospettabile come Vivaldi, un browser freeware multipiattaforma.
Per garantire l’esecuzione del browser, Vizom modifica tutti i collegamenti interni a Windows in modo che, qualunque sia il browser che la vittima intende aprire, venga avviato comunque Vivaldi.
L’utente, però, vedrà comunque aprirsi il browser che ha avviato. Questo, però, verrà eseguito come una dipendenza di Vivaldi. L’obiettivo, infatti, è esclusivamente quello di mantenere attiva la DLL associata a Vivaldi e consentire così ai pirati informatici di monitorare la navigazione della vittima.
Il loro obiettivo, spiegano i ricercatori, è quello di sapere quando si collegano a un servizi odi home banking e sfruttare un classico sistema basato su un overlay a tutto schermo (consentito proprio dalle caratteristiche di Vivaldi) che gli consente di catturare degli screenshot dal computer infetto, mentre un modulo a parte si occupa di registrare tutto ciò che viene digitato sulla tastiera (comprese ovviamente le password) attraverso un keylogger.
Gli attacchi, spiegano i ricercatori, sarebbero per il momento concentrati sul territorio brasiliano. Le particolarissime caratteristiche del malware, però, potrebbero portare i cyber criminali ad allargare il loro campo d’azione o a estendere l’attività fornendone il codice ad altri pirati informatici, secondo la logica (ormai diffusissima) del “malware as a service”.
Condividi l'articolo
Il noto spyware GravityRAT diventa multipiattaforma
Programmi di fidelizzazione nel mirino dei pirati
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le aziende italiane prevedono un aumento degli investimenti... La cybersecurity sta acquisendo sempre più importanza tra... -
Sophos Annual Threat Report: i malware e gli strumenti più... Nel 2024, le piccole e medie imprese, spesso considerate il... -
Down di MATLAB: MathWorks conferma l’attacco... MATLAB ha smesso di funzionare per quasi una settimana e... -
Acronis: l’italia traina la crescita MSP Nel corso del “TRU Security Day 2025” di... -
Akamai individua “BadSuccessor” per... I ricercatori di Akamai hanno individuato di recente...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Due bug LPE consentono di ottenere i privilegi di root su... I ricercatori di Qualys Threat Research Unit hanno... -
Kali Linux 2025.2, la nuova versione ha anche un toolkit... Lo scorso 13 giugno è stata rilasciata Kali Linux... -
Fog ransomware, un ransomware anomalo a una finanziaria... Un attacco ransomware avvenuto nel maggio 2025 ai danni... -
Anubis, un nuovo ransomware che integra un wiper I ricercatori di Trend Micro hanno individuato Anubis, un... -
EchoLeak: è arrivata la prima vulnerabilità zero clic per... Nel gennaio 2025, i ricercatori di Aim Labs hanno...
Ransomware: la serie
No posts found.
