Uma nova campanha de malware ZLoader já atingiu mais de 2.000 vítimas em 111 países. Essa nova campanha tem espalhado o malware ZLoader, explorando uma vulnerabilidade do Windows que foi corrigida em 2013, mas em 2014 a Microsoft revisou a correção.
Malware ZLoader
A descoberta dessa nova campanha foi descoberta por especialistas da Check Point Research, que identificaram o malware ZLoader no início de novembro de 2021, novamente. De acordo com as descobertas, a campanha de malware ainda está ativa e os agentes de ameaças já roubaram dados e credenciais de mais de 2.000 vítimas em 111 países em 2 de janeiro de 2022.
O Zloader é um malware bancário que está ativo pelo menos desde 2016. Ele pega emprestado algumas funções do notório Trojan bancário Zeus 2.0.8.9 e foi usado para espalhar trojan bancário semelhante ao Zeus. De acordo com o SecurityAffairs, a cadeia de ataque aproveita o software legítimo de gerenciamento remoto (RMM) para obter acesso inicial ao sistema de destino.
A cadeia de infecção começa com a instalação do software Atera na máquina da vítima. Atera é um software de gerenciamento e monitoramento remoto corporativo legítimo que pode instalar um agente e atribuir o terminal a uma conta específica usando um arquivo .msi exclusivo que inclui o endereço de e-mail do proprietário.
Os invasores criaram este instalador usando um endereço de e-mail temporário: ‘[email protected]’. Como as campanhas anteriores do Zloader, o arquivo se apresenta como uma instalação Java.
Em seguida, o malware explora o método de verificação de assinatura digital da Microsoft para injetar sua carga em uma DLL de sistema assinada em uma tentativa de evitar a detecção.
O malware explora uma vulnerabilidade do Windows
Os atores da ameaça exploram uma vulnerabilidade, rastreada como CVE-2013-3900, que foi descoberta e corrigida em 2013, mas em 2014 a Microsoft revisou a correção.
Durante a investigação, os especialistas encontraram um diretório aberto, hospedado em teamworks455 [.] Com, que continha alguns dos arquivos baixados da campanha. A maioria dos sistemas infectados estão nos EUA, Canadá, Austrália, Índia e Indonésia.
Os especialistas atribuem esta campanha ao grupo de crimes cibernéticos MalSmoke devido às semelhanças com ataques anteriores. “Duas maneiras dignas de nota vistas aqui são usar software RMM legítimo como acesso inicial a uma máquina de destino e anexar código à assinatura de um arquivo, mantendo a validade da assinatura e executando-o usando mshta.exe. A capacidade de anexar código à assinatura de um arquivo é conhecida há muitos anos e vários CVEs foram atribuídos conforme mencionado acima”, conclui o relatório.
”Para atenuar o problema, todos os fornecedores devem estar em conformidade com as novas especificações do Authenticode para ter essas configurações como padrão, em vez de uma atualização opcional. Até que isso aconteça, nunca podemos ter certeza se podemos realmente confiar na assinatura de um arquivo”, relatam os especialistas.
Via: SecurityAffairs