Analiștii de securitate cibernetică de la Check Point Research au descoperit o nouă campanie pentru infractorii cibernetici care utilizează verificarea Semnătura electronică Microsoft. Până în prezent, victimele sale au fost peste 2.170 de persoane din 111 țări. Majoritatea celor infectați provin din Statele Unite (40%) și Canada (14%). Se pare că și ei au fost printre victime utilizatori polonezi (mai puțin de 1%).

Experții Check Point Research atribuie campania grupului criminal cibernetic MalSmoke, care a folosit un cunoscut troian pentru a efectua operațiunea. ZLoader. Acest instrument a fost folosit până în prezent în atacuri asupra serviciilor bancare electronice, în timp ce din septembrie 2021 a fost pe radarul CISA (Agenția SUA pentru Securitate Cibernetică și Infrastructură) în calitate de distribuitor al ransomware-ului Conti și al diferitelor tulpini de ransomware Ryuk.

Vă rugăm să rețineți că nu puteți avea încredere imediat în semnătura digitală a fișierului. Ceea ce am găsit a fost o nouă campanie ZLoader care folosește verificarea semnăturii digitale a Microsoft pentru a fura informațiile sensibile ale utilizatorilor. Am început să observăm primele dovezi ale unei noi campanii în jurul lunii noiembrie 2021. Ea vizează atacatorii pe care i-am conectat cu grupul MalSmoke Furtul de acreditări și informații private ale victimelor. Până acum, am numărat peste 2.000 de victime în 111 țări. Autorii campaniei Zloader par să fi făcut tot posibilul pentru a evita sistemele de securitate și pentru a-și actualiza metodele în fiecare săptămână, notează Kobi Eisenkraft, cercetător de malware la Check Point Research.

Atacul începe cu instalarea unui program legitim de administrare la distanță care se pretinde a fi o instalare Java. După ce este făcută, atacatorul o face Acces complet la sistem Este capabil să încarce/descarce fișiere, precum și să ruleze scripturi. Atacatorul trimite și rulează mai multe scripturi care descarcă scripturi succesive care rulează mshta.exe cu appContast.dll ca parametru. Fișierul appContast.dll este semnat de Microsoft, deși mai multe informații au fost adăugate la sfârșitul fișierului. Informațiile adăugate determină descărcarea și lansarea finalului Zloader, ceea ce Fură acreditările utilizatorului și informații despre victimă.

Check Point Research a raportat descoperirile lor către Microsoft și Atera. Compania a emis, de asemenea, o recomandare de a utiliza o actualizare Microsoft pentru a verifica temeinic codul de autentificare. Din păcate, nu este implementat implicit. În același timp, experții avertizează împotriva instalării de programe din surse sau site-uri necunoscute și a nu face clic pe link-uri și atașamente necunoscute pe care le primiți prin poștă.