Novo malware recorre a verificação de assinatura digital para roubar informações

Há uma nova campanha de malware que está a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis, sob o nome ZLoader. O alerta dado pela Check Point Research (CPR), que indica que o malware já soma mais de duas mil vítimas em 111 países. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti e a CPR atribui a campanha maliciosa, que data de novembro de 2021, ao grupo Malsmoke, que tem feito um grande esforço para aprimorar as suas técnicas evasivas, explicam. 

O ZLoader é um trojan bancário que recorre a web injection, uma técnica que, através da injeção de código malicioso, permite roubar cookies, palavras-passe e outras informações sensíveis. Conhecido por distribuir malware, o ZLoader foi identificado em setembro de 2021 pela CISA, no âmbito da investigação relativa à disseminação do ransomware Conti. No mesmo mês, a Microsoft alertou para a alteração do método de ataque do Zloader: os atacantes estavam a comprar palavras-chave do Google Ads para distribuir várias cadeias de malware, incluindo o ransomware Ryuk.

O ataque começa com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java. Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e descarregar ficheiros, bem como executar scripts. Assim, o atacante carrega e executa scripts que descarregam mais scripts que, por sua vez, executam o software mshta.exe com o ficheiro appContast.dll como parâmetro. Depois, o ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro e a informação adicionada descarrega e executa o payload Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas.

Até agora, a CPR registou 2170 vítimas únicas, com a maioria a residir no EUA, seguido do Canadá e Índia. “As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores. Começamos por ver evidências de uma nova campanha em novembro de 2021. Os atacantes, que pensamos ser do grupo MalSmoke, pretendem roubar credenciais de utilizador e informações pessoais das vítimas” acrescenta Kobi Eisenkraft, Malware Researcher da Check Point. 

Mais, refere que “os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente a atualizar os seus métodos. Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não implementado automaticamente”.