Malware zneužívající technologii Microsoft má už více než 2 000 obětí

06. 01. 20222

Malware zneužívající technologii Microsoft má už více než 2 000 obětí

Fotografie: pixabay.com

Check Point Research varuje před novou malwarovou kampaní zneužívající technologii Microsoft pro ověřování elektronických podpisů
Cílem jsou krádeže přihlašovacích údajů a citlivých informací
Bankovní trojan Zloader má už více než 2 000 obětí ze 111 zemí, včetně těch z ČR

Útoky probíhají v několika fázích. Cílem některých kroků je vyhnout se odhalení bezpečnostními technologiemi, některé načítají další části útoku z řídícího serveru a další fáze se zaměřují na to, aby hrozba mohla v počítači škodit dlouhodobě a nevzbudila pozornost. Útočníci chtějí útoky automatizovat a mít možnost je průběžně měnit a vylepšovat, takže malware stahuje a spouští z C&C serveru další soubory.

Útok začíná instalací běžně používaného programu Atera pro vzdálenou správu. Hackeři vytvořili verzi, která na zařízení oběti nepozorovaně instaluje škodlivého agenta.
Po instalaci má útočník plný přístup k systému a může nahrávat/stahovat soubory a také spouštět další skripty, až dojde ke spuštění mshta.exe se souborem appContast.dll jako parametrem.
Soubor appContast.dll je podepsán společností Microsoft, přestože na konec souboru byly přidány další informace. Při bližší analýze DLL knihovny zjistíme, že soubor sice obsahuje platný digitální podpis společnosti Microsoft, ale jeho původní název je AppResolver.dll a je k němu navíc připojený skript.
Přidané informace stáhnou a spustí finální část Zloaderu a ukradnou obětem přihlašovací údaje a soukromé informace.

Doposud bylo identifikováno 2 170 obětí. Nejvíce jich pochází ze Spojených států, následuje Kanada a Indie. Oběti jsou ale hlášené také z České republiky.

Check Point o problému informoval společnosti Microsoft a Atera

„Je potřeba si uvědomit, že digitálním podpisům u souborů nelze slepě důvěřovat. Nová kampaň Zloader zneužívá ověřovací technologii Microsoft ke krádeži citlivých informací. Útočníci, pravděpodobně skupina MalSmoke, se zaměřují na krádeže přihlašovacích údajů a soukromých informací. Zatím víme o více než 2 000 obětech ze 111 zemí. Útočníci věnují značné úsilí, aby se vyhnuli obranným mechanismům a své metody každý týden aktualizují. Uživatelé by proto měli použít aktualizaci technologie Microsoft Authenticode,“ říká Pavel Krejčí, Security Engineer v kyberbezpečnostní společnosti Check Point Software Technologies.

Can you trust a file's digital signature? 🤔
A new #Zloader campaign abuses CVE-2013-3900 for defense evasion.

🔥 HTA content appended to a signed Microsoft DLL, without breaking trust
🔥 MSHTA used to execute the appended script
🔥 CVE-2013-3900 still unpatched by default pic.twitter.com/5n1AoS6hsl
— Check Point Research (@_CPResearch_) November 23, 2021

Více informací najdete v analýze výzkumného týmy Check Point Research na tomto odkazu.

tisková zprávabezpečnost, MicrosoftFacebook Twitter

Související články

Diskuze ke článku

Janek Fanek6. 1. 2022 11:09

To jsou fakta a nelze je podceňovat. Pro běžného uživatele systému Windows bude obtížné detekovat "Uživatelé by proto měli použít aktualizaci technologie Microsoft Authenticode", jak to zjistit, popř je to součástí pravidelné aktualizace, či nikoliv. Platí to pro veškeré systémy Windows nebo jen pro některé. A konečně, proč to není starost Microsoftu a jeho odpovědnosti za OS Windows?

Odpovědět

Bts From Deep11. 5. 2022 02:34

Jsem jednou z obětí tohodle neřádu. A řeknu Vám dvě skutečnosti. Nezbavíte se toho a možná na to spíš ani nepřijdete. Nelze detekovat AV programy.

Děkuji moc Microsoftu za přístup (totální ignorance) a za neřešení týhle mrchy.

.

Načíst všechny komentáře

Přidat názor