Cibercriminosos exploram verificação de assinatura da Microsoft para roubar dados

Malware Zloader foi usado para roubar informações pessoais por meio da alteração da assinatura digital da Microsoft

Compartilhar:

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies alerta para uma nova campanha de malware que explora a verificação da assinatura digital para roubar dados pessoais e informações sensíveis. O ZLoader é o malware dessa campanha que já soma mais de 2.000 vítimas em 211 países. No Brasil, o número de vítimas detectado pela CPR é de 21 residentes no país.

A divisão CPR atribui a campanha maliciosa, que se refere a novembro de 2021, ao grupo Malsmoke, que tem feito um grande esforço para aprimorar as suas técnicas evasivas. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.

O ZLoader é um cavalo de Troia bancário que recorre a web injection, uma técnica que, por meio da injeção de código malicioso, permite roubar cookies, senhas e quaisquer outras informações sensíveis. Conhecido por distribuição de malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do ransomware Conti.

Naquele mesmo mês, a Microsoft alertou para a alteração do método de ataque do ZLoader. Os atacantes estavam comprando palavras-chave do Google Ads para distribuir vários tipos de malware, incluindo o ransomware Ryuk. Agora, a divisão Check Point Research noticia o ressurgimento do ZLoader numa campanha que conta já com mais de 2.000 vítimas espalhadas por mais de 111 países. O ataque é atribuído ao grupo de cibercriminosos MalSmoke.

 

Cadeia de Infecção

 

1.A infecção começa com a instalação do software Atera na máquina da vítima. Atera é um software de gerenciamento e monitoramento remoto corporativo legítimo, projetado para uso de TI.

 

2.Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e baixar arquivos, bem como executar scripts. Assim, o atacante baixa e executa scripts que baixam mais scripts que, por sua vez, executam o software mshta﹒exe com o arquivo appContast﹒dll como parâmetro.

 

3.O arquivo appConstant﹒dll é assinado pela Microsoft, embora mais informações tenham sido adicionadas ao final do arquivo.

 

4.As informações adicionadas baixam e executam a carga útil final do Zloader, roubando credenciais do usuário e informações pessoais das vítimas.

 

A CPR informou à Microsoft e à Atera a respeito de suas descobertas e conclusões.

“As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um arquivo. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos usuários. Começamos por ver evidências de uma nova campanha em novembro de 2021. Os atacantes, que pensamos ser do grupo MalSmoke, pretendem roubar credenciais de usuário e informações pessoais das vítimas. Até agora, contabilizamos mais de 2.000 vítimas em mais de 111 países”, comenta Kobi Eisenkraft, pesquisador de malware da Check Point Software.

“Em suma, parece que os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente atualizando os seus métodos. Recomendo fortemente a todos os usuários que implementem a atualização da Microsoft de forma a ter uma verificação mais rigorosa do Autheticode, uma vez que não é implementado automaticamente”, reforça Eisenkraft.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...
Security Report | Overview

GSI publica resolução do primeiro encontro do Comitê de Cibersegurança

O Comitê organizado e administrado pelo GSI definiu tanto o regimento interno do conselho quanto dividiu as atribuições dos Grupos...
Security Report | Overview

Avanço das deepfakes movimenta indústria em favor da detecção com IA embarcada

Segundo pesquisa da Kaspersky, o número de golpes por fake news de produções digitais teve um aumento de 900% em...