A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, alerta para uma nova campanha de malware que explora a verificação da assinatura digital para roubar dados pessoais e informações sensíveis. O ZLoader é o malware dessa campanha que já soma mais de 2.000 vítimas em 211 países. No Brasil, o número de vítimas detectado pela CPR é de 21 residentes no país.

• Siga o tecflow no Google News!
• Participe do nosso grupo no Telegram ou Whatsapp2!
• Confira nossos stories no Instagram e veja notícias como essa!
•  Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
• Anuncie conosco aqui.

A divisão CPR atribui a campanha maliciosa, que se refere a novembro de 2021, ao grupo Malsmoke, que tem feito um grande esforço para aprimorar as suas técnicas evasivas. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.

O ZLoader é um cavalo de Troia bancário que recorre a web injection, uma técnica que, por meio da injeção de código malicioso, permite roubar cookies, senhas e quaisquer outras informações sensíveis. Conhecido por distribuição de malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do ransomware Conti.

Naquele mesmo mês, a Microsoft alertou para a alteração do método de ataque do ZLoader. Os atacantes estavam comprando palavras-chave do Google Ads para distribuir vários tipos de malware, incluindo o ransomware Ryuk. Agora, a divisão Check Point Research noticia o ressurgimento do ZLoader numa campanha que conta já com mais de 2.000 vítimas espalhadas por mais de 111 países. O ataque é atribuído ao grupo de cibercriminosos MalSmoke.

Cadeia de Infecção

1. A infecção começa com a instalação do software Atera na máquina da vítima. Atera é um software de gerenciamento e monitoramento remoto corporativo legítimo, projetado para uso de TI.
2. Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e baixar arquivos, bem como executar scripts. Assim, o atacante baixa e executa scripts que baixam mais scripts que, por sua vez, executam o software mshta﹒exe com o arquivo appContast﹒dll como parâmetro.
3. O arquivo appConstant﹒dll é assinado pela Microsoft, embora mais informações tenham sido adicionadas ao final do arquivo.
4. As informações adicionadas baixam e executam a carga útil final do Zloader, roubando credenciais do usuário e informações pessoais das vítimas.

Clique Para Download

Fig. 1 Imagem Simplificada da Cadeia de Infecção.

Vítimas: principais países afetados

Até o momento, a CPR registrou o número de 2.170 vítimas únicas. A maioria reside nos Estados Unidos, seguidos pelo Canadá e Índia. O Brasil registra 21 vítimas.

Fig. 2 Número de vítimas por país

A CPR informou à Microsoft e à Atera a respeito de suas descobertas e conclusões.  

“As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um arquivo. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos usuários. Começamos por ver evidências de uma nova campanha em novembro de 2021. Os atacantes, que pensamos ser do grupo MalSmoke, pretendem roubar credenciais de usuário e informações pessoais das vítimas. Até agora, contabilizamos mais de 2.000 vítimas em mais de 111 países”, comenta Kobi Eisenkraft, pesquisador de malware da Check Point Software.

“Em suma, parece que os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente atualizando os seus métodos. Recomendo fortemente a todos os usuários que implementem a atualização da Microsoft de forma a ter uma verificação mais rigorosa do Autheticode, uma vez que não é implementado automaticamente”, reforça Eisenkraft.

Orientações de segurança

1. Aplicar a atualização da Microsoft para verificação rigorosa do Authenticode, pois não é implementado por padrão.
2. Não instalar programas a partir de sites ou fontes desconhecidas.
3. Não clicar em links ou abrir anexos desconhecidos que tenham sido enviados ao usuário por e-mail.

Faça como os mais de 4.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão!  

Marciel

Formado em jornalismo, o editor atua há mais de 10 anos cobrindo notícias referente ao mercado B2B. Porém, apesar de toda a Transformação Digital, ainda prefere ouvir música em disco de vinil.