惡意程式冒充視訊軟體、瀏覽器為掩護，劫持網銀帳戶

IBM研究人員發現一隻惡意程式利用冒充視訊軟體及瀏覽器的手法，騙過安全軟體偵測，並伺機發動遠端疊加（remote overlay）攻擊以劫持網銀帳戶。

IBM安全部門下Trusteer部門研究人員首先發現一隻名為Vizom的惡意程式，已在巴西流傳攻擊Windows PC使用者，以洗劫其網銀帳戶。

遠端疊加惡意程式近年在南美甚為流行。和其他同類一樣，Vizcom也是透過釣魚郵件誘使用戶下載某個假冒的軟體，然後在合法程序掩護下暗中執行不法行為，例如蒐集PC用戶重要資訊。這隻惡意程式利用武漢肺炎疫情許多人遠距工作，視訊會議需求提升，而以市場上一個知名視訊軟體為名目，藉此下載到用戶電腦，作為它攻擊的第一步。

IBM研究人員Chen Nahman指出，Vizcom較為特殊的一點是它感染及部署在受害電腦的方式。事實上，它使用的是現今愈來愈常見的DLL劫持（DLL hijacking）手法：誘使電腦下載惡意DLL檔，再由Windows合法程序執行。當用戶啟動下載，會先以.zip檔型式進入AppData目錄，然後展開自動解壓縮，裏面包含了知名視訊軟體的binary及惡意DLL檔。

雖然研究人員未指出這個視訊軟體為何，但是從Vizcom對惡意DLL檔的命名「Cmmlib.dll」可以得知是Zoom。這冒名DLL使Windows 以子程序允許執行，同時以Zoom的身份潛藏在用戶電腦上，但是連向的是外部惡意伺服器。

第二階段，Vizcom又以DLL劫持手法下載Chromium瀏覽器Vivaldi的binary及惡意DLL檔，然後在其掩護下開始攻擊行動。這也是IBM將之命名為Vizcom的原因。Vizcom的攻擊行動包括監視用戶瀏覽器行為、對外建立C&C伺服器即時連線、下載木馬程式以及惡意疊加螢幕模組。藉由這些程序的反覆執行，Vizcom得以在Vivaldi瀏覽器掩護下蒐集屬意的網站資訊，像是網路銀行，還側錄密碼，再將這些資訊傳送給外部伺服器。

Vizcom目前鎖定的是巴西主要銀行，但是研究人員提醒，同樣手法之前也用在南美其他國家，而且也曾攻擊歐洲銀行用戶。

此外Trusteer團隊指出，Vizcom的手法並非特別高深，但其利用現今人們遠距上班的需求下手，並以DLL劫持手法迴避Windows及端點防護產品，是值得所有用戶提高警覺之處。