Está em curso uma nova campanha de malware que está a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis, alertam investigadores da empresa de cibersegurança Check Point.
O malware ZLoader já fez mais de 2.000 vítimas em 111 países. Os investigadores da Check Point Research atribuiem a campanha maliciosa, que data de novembro de 2021, ao grupo Malsmoke. Um grupo que tem vindo a melhorar as suas técnicas evasivas. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.
Malware ZLoader
O ZLoader é um trojan bancário que recorre a web injection, uma técnica que, através da injeção de código malicioso, permite roubar cookies, passwords e quaisquer outras informações sensíveis. Conhecido por distribuir malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency, dos EUA, no âmbito da investigação relativa à disseminação do ransomware Conti.
Ainda no mesmo mês de setembro de 2021, a Microsoft alertou para a alteração do método de ataque do ZLoader. Os atacantes estavam a comprar palavras-chave do Google Ads para distribuir várias cadeias de malware, incluindo o ransomware Ryuk. Agora, os investigadores da Check Point Research dão conta do ressurgimento do ZLoader numa campanha lançada pelo grupo de cibercriminosos MalSmoke e que já atingiu milhares de vítimas em muitos países .
Cadeia de Infeção
- O ataque começa com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java.
- Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e descarregar ficheiros, bem como executar scripts. Assim, o atacante carrega e executa scripts que descarregam mais scripts que, por sua vez, executam o software exe com o ficheiro appContast.dll como parâmetro.
- O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro.
- A informação adicionada descarrega e executa o payload Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas.
Imagem Simplificada da Cadeia de Infeção. Fonte: Check PointVítimas dos cibercriminosos
Até agora, a Check Point Research já registou de 2170 vítimas únicas. A maioria reside no Estados Unidos, seguido do Canadá e Índia.
Check Point Research informou a Microsoft e a Atera
“As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores. Começamos por ver evidências de uma nova campanha em novembro de 2021. Os atacantes, que pensamos ser do grupo MalSmoke, pretendem roubar credenciais de utilizador e informações pessoais das vítimas. Até agora, contabilizamos mais de 2000 vítimas em mais de 111 países,” referiu Kobi Eisenkraft, Malware Researcher da Check Point, citado em comunicado pela Check Point.
“Em suma, parece que os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente a atualizar os seus métodos. Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não implementado automaticamente,” concluiu o investigador da Check Point.
Dicas de Segurança
- Implementar a atualização da Microsoft para verificação rígida do Authenticode. Não é implementado automaticamente.
- Não instalar programas a partir de sites ou fontes desconhecidas.
- Não carregar em links ou abrir anexos que não lhe sejam familiares e que cheguem via email.