Ένα νέο κύμα ψηφιακών επιθέσεων έχει εξαπολύσει το τραπεζικό trojan « Zloader», το οποίο αυτή τη φορά εκμεταλλεύεται την επαλήθευση της ψηφιακής υπογραφής της Microsoft για να κλέψει ευαίσθητες πληροφορίες των θυμάτων.
Το ZLoader χρησιμοποιεί web injection για να κλέψει cookies, κωδικούς πρόσβασης και οποιαδήποτε ευαίσθητη πληροφορία, ενώ γίνει γνωστό ότι στο παρελθόν έχει μεταφέρει ransomware και βρέθηκε στο ραντάρ της CISA τον Σεπτέμβριο του 2021 ως μέθοδος που ευθύνεται για τη διανομή του ransomware «Conti».
Κατά τη διάρκεια του ίδιου μήνα, η Microsoft δήλωσε ότι οι χειριστές του ZLoader αγόραζαν διαφημίσεις με λέξεις – κλειδιά της Google για να διανέμουν διάφορα στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware «Ryuk».
Η Check Point δημοσίευσε ένα report που περιγράφει λεπτομερώς την επανεμφάνιση του «ZLoader» σε μια εκστρατεία που έχει χτυπήσει πάνω από 2.000 θύματα σε 111 χώρες, την οποία αποδίδει στην εγκληματική ομάδα του κυβερνοχώρου «MalSmoke».
Πώς επιτίθεται
- Η επίθεση ξεκινά με την εγκατάσταση νόμιμου προγράμματος απομακρυσμένης διαχείρισης που προσποιείται ότι είναι εγκατάσταση Java.
- Μετά από αυτή την εγκατάσταση, ο δράστης έχει πλήρη πρόσβαση στο σύστημα και μπορεί να ανεβάζει / κατεβάζει αρχεία και επίσης να εκτελεί σενάρια, οπότε ο επιτιθέμενος ανεβάζει και εκτελεί μερικά σενάρια που κατεβάζουν περισσότερα σενάρια που εκτελούν το mshta.exe με το αρχείο appContast.dll ως παράμετρο.
- Το αρχείο appContast.dll είναι υπογεγραμμένο από τη Microsoft, παρόλο που στο τέλος του αρχείου έχουν προστεθεί περισσότερες πληροφορίες.
- Οι πρόσθετες πληροφορίες κατεβάζουν και εκτελούν το τελικό ωφέλιμο φορτίο «Zloader», υποκλέπτοντας διαπιστευτήρια χρήστη και προσωπικές πληροφορίες από τα θύματα
Μέχρι στιγμής η Check Point έχει καταγράψει 2170 μοναδικά θύματα, τα περισσότερα από τα οποία κατοικούν στις Ηνωμένες Πολιτείες, τον Καναδά και την Ινδία.
Τί πρέπει να κάνετε
- Εφαρμόστε άμεσα την ενημερωμένη έκδοση της Microsoft για αυστηρή επαλήθευση Authenticode.
- Μην εγκαθιστάτε προγράμματα από άγνωστες πηγές ή τοποθεσίες.
- Μην ανοίγετε συνδέσμους και άγνωστα συνημμένα αρχεία που λαμβάνετε μέσω ταχυδρομείου.