Os especialistas em cibersegurança da Check Point Research (CPR) está a alertar para uma nova campanha de malware, de nome ZLoader, que está a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis.
A CPR atribui a campanha maliciosa, que data de novembro de 2021, ao grupo Malsmoke, que tem feito um grande esforço para aprimorar as suas técnicas evasivas. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.
Malware é um trojan bancário
Como refere a CPR, o ZLoader é um trojan bancário que recorre a web injection, uma técnica que, através da injeção de código malicioso, permite roubar cookies, passwords e quaisquer outras informações sensíveis.
ZLoader de seu nome, o malware já soma mais de 2000 vítimas em 111 países.
Conhecido por distribuir malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA, no âmbito da investigação relativa à disseminação do ransomware Conti.
No mesmo mês, a Microsoft alertou para a alteração do método de ataque do ZLoader. Os atacantes estavam a comprar palavras-chave do Google Ads para distribuir várias cadeias de malware, incluindo o ransomware Ryuk.
Agora, a CPR noticia o ressurgimento do ZLoader numa campanha que conta já com mais de 2000 vítimas espalhadas por mais de 111 países. O ataque é atribuído ao grupo de cibercriminosos MalSmoke.
Cadeia de Infeção
Explica a CPR que o ataque começa com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java
Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e descarregar ficheiros, bem como executar scripts. Assim, o atacante carrega e executa scripts que descarregam mais scripts que, por sua vez, executam o software mshta.exe com o ficheiro appContast.dll como parâmetro.
O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro.
A informação adicionada descarrega e executa o payload Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas.
Até agora, a CPR tem registo de 2170 vítimas únicas. A maioria reside no Estados Unidos, seguido do Canadá e Índia.
“As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores,” começa por dizer Kobi Eisenkraft, Malware Researcher da Check Point.
“Em suma, parece que os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente a atualizar os seus métodos. Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não implementado automaticamente”, acrescenta Kobi Eisenkraft.
As dicas de segurança da CPR passam por implementar a atualização da Microsoft para verificação rígida do Authenticode. Não instalar programas a partir de sites ou fontes desconhecidas e não carregar em links ou abrir anexos que não lhe sejam familiares e que cheguem via email são outras recomendações.