A Check Point Research (CPR), área de Threat Intelligence da Check Point® Software Technologies Ltd., fornecedor líder de soluções de cibersegurança a nível global, alerta para uma nova campanha de malware que está a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis. ZLoader de seu nome, o malware já soma mais de 2,000 vítimas em 211 países. A CPR atribui a campanha maliciosa, que data de Novembro de 2021, ao grupo Malsmoke, que tem feito um grande esforço para aprimorar as suas técnicas evasivas. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.

O malware

O ZLoader é um trojan bancário que recorre a web injection, uma técnica que, através da injeção de código malicioso, permite roubar cookies, passwords e quaisquer outras informações sensíveis. Conhecido por distribuir malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA, no âmbito da investigação relativa à disseminação do ransomware Conti. No mesmo mês, a Microsoft alertou para a alteração do método de ataque do ZLoader. Os atacantes estavam a comprar palavras-chave do Google Ads para distribuir várias cadeias de malware, incluindo o ransomware Ryuk. Agora, a CPR noticia o ressurgimento do ZLoader numa campanha que conta já com mais de 2000 vítimas espalhadas por mais de 111 países. O ataque é atribuído ao grupo de cibercriminosos MalSmoke. 

Cadeia de Infeção

  1. O ataque começa com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java
  2. Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e descarregar ficheiros, bem como executar scripts. Assim, o atacante carrega e executa scripts que descarregam mais scripts que, por sua vez, executam o software exe com o ficheiro appContast.dll como parâmetro.
  3. O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro
  4. A informação adicionada descarrega e executa o payload Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas

 As vítimas

Até agora, a CPR tem registo de 2170 vítimas únicas. A maioria reside no Estados Unidos, seguido do Canadá e Índia.

A CPR informou a Microsoft e a Atera das suas conclusões.

“As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores. Começamos por ver evidências de uma nova campanha em novembro de 2021. Os atacantes, que pensamos ser do grupo MalSmoke, pretendem roubar credenciais de utilizador e informações pessoais das vítimas. Até agora, contabilizamos mais de 2000 vítimas em mais de 111 países,” começa por dizer Kobi Eisenkraft, Malware Researcher da Check Point. “Em suma, parece que os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente a atualizar os seus métodos. Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não implementado automaticamente.”

Dicas de Segurança

  1. Implementar a atualização da Microsoft para verificação rígida do Authenticode. Não é implementado automaticamente.
  2. Não instalar programas a partir de sites ou fontes desconhecidas.
  3. Não carregar em links ou abrir anexos que não lhe sejam familiares e que cheguem via email

 

Classifique este item
(0 votos)
Ler 971 vezes
Tagged em
Top