Weryfikacja podpisu cyfrowego wykorzystana do wykradania danych

219

Złośliwe oprogramowanie ZLoader zaatakowało w 11 krajach. Jest ponad 2 tysiące ofiar. Wśród nich także Polacy.

ZLoader wykorzystuje weryfikację podpisu cyfrowego Microsoft by wykraść dane uwierzytelniające i poufne informacje. Jego atak wykryli analitycy bezpieczeństwa cybernetycznego z Check Point Research.

– Należy wiedzieć, że nie można od razu zaufać podpisowi cyfrowemu pliku. To, co znaleźliśmy, to nowa kampania ZLoader wykorzystująca weryfikację podpisu cyfrowego Microsoftu do kradzieży poufnych informacji użytkowników – wskazuje Kobi Eisenkraft, badacz malware’u w Check Point Research.

Ofiary to 2170 osób ze 11 państw. 40 proc. z nich pochodzi z USA, a 14 proc. z Kanady. Ofiarami padli także Polacy, chociaż to mniej niż 1 proc. wszystkich pokrzywdzonych.

Eksperci Check Point Research podejrzewają o atak grupę cyberprzestępczą MalSmoke. Dotychczas ZLoadera wykorzystywano do ataków na bankowość elektroniczną.

– Pierwsze dowody na istnienie nowej kampanii zaczęliśmy obserwować około listopada 2021 roku. Napastnicy, których powiązaliśmy z grupą MalSmoke, mają na celu kradzież danych uwierzytelniających oraz prywatnych informacji ofiar – wyjaśnia Kobi Eisenkraft.

Początek ataku do instalacja legalnego programu do zdalnego zarządzania. Udaje ona instalację Javy. Pozwala to na pełen dostęp do systemu atakującego. Wysyła on i uruchamia skrypty, które pobierają kolejne skrypty uruchamiające mshta.exe z plikiem appContast.dll jako parametrem. I chociaż jest on podpisany przez Microsoft, to na końcu dodano do pliku informacje pozwalające na uruchomienie payloadera Zloader.

Jak widać cyberprzestępcy zadali sobie trochę trudu, by przygotować ten atak. Ale jak widać po liczbie ofiar – były to przygotowania skuteczne.

Check Point Research swoje ustalenia przekazał formom Microsoft i Atera. Rekomendowane jest zainstalowanie aktualizacji Microsoftu do ścisłej weryfikacji Authenticode.

Eksperci przypominają również o tym, by nie instalować programów z nieznanych źródeł i witryn. Nie należy także klikać w linki i załączniki przysyłane pocztą od nieznanych adresów.

Źródło: biznes.interia.pl