Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London. PGP-nyckel: AF40821B.
Fullständig biografi publicerad i Zero Day den 5 januari 2022 | Ämne: Säkerhet
Malsmoke-hackningsgruppen missbrukar nu en sårbarhet i Microsofts e-signaturverifieringsverktyg för att distribuera skadlig programvara och stjäla användardata.
I onsdags sa Check Point Research (CPR) att över 2 100 offer har hittills upptäckts över hela världen i en ny kampanj, med majoriteten bosatta i USA, Kanada och Indien – även om bevis på skadlig programvara har hittats i 111 länder.
Den skadliga koden, kallad ZLoader, har använts tidigare för att leverera banktrojaner och har varit nära kopplad till flera ransomware-stammar.
Den nya kampanjen tros ha startat i november 2021. Under de inledande attackerna har operatörerna av skadlig programvara beslutat att använda Atera, legitim programvara för fjärrhantering, som språngbräda för att infektera ett system.
Även om det inte är känt hur det skadliga paketet som innehåller Atera för närvarande distribueras, vid installationen kommer Atera också att visa ett falskt Java-installationsprogram. Den här filen är dock upptagen med att installera en agent som ansluter slutpunktsdatorn till en angripares konto, vilket gör att de kan fjärrdistribuera skadliga nyttolaster.
Två .bat-filer laddas sedan upp till offrets dator: den första är ansvarig för att manipulera Windows Defender, och den andra används för att ladda ZLoader. Under detta skede läggs Windows Defender-uteslutningar till för att stoppa cybersäkerhetsverktyget från att starta varningar, befintlig programvara som kan upptäcka manipulation av aktivitetshanteraren och cmd.exe inaktiveras och ytterligare skript som används för att inaktivera “Admin Approval Mode” exekveras.
Dessutom läggs ett skript till i startmappen för beständighet och en omstart av datorn tvingas tillämpa systemändringarna.
Det bör noteras att en signerad, skadlig .DLL-fil används för att infektera en dator med ZLoader, enligt teamet. CPR sa att filen modifierades och att ytterligare kod inkluderades genom att använda ett känt problem i signaturvalideringen av skapade PE-filer, som nämns i CVE-2020-1599, CVE-2013-3900 och CVE-2012-0151.
Medan en korrigering utfärdades för flera år sedan, resulterade falska positiva meddelanden mot legitima installatörer i att patchen gjordes opt-in.
“Microsoft tog upp problemet 2013 med en säkerhetsbulletin och drev en fix”, säger forskarna. “Men de uppgav efter att ha implementerat det att de “fastställde att påverkan på befintlig programvara kunde vara hög.” Därför drog de i juli 2014 den striktare filverifieringen och ändrade den till en opt-in-uppdatering. Med andra ord, denna korrigering är inaktiverat som standard, vilket är det som gör det möjligt för författaren av skadlig programvara att ändra den signerade filen.”
Den sista ZLoader-nyttolasten distribueras sedan. Denna skadliga programvara, en banktrojan i sig, kan stjäla användaruppgifter, cookies och känslig information – inklusive inloggningsdata för finansiella konton – samt fungera som en bakdörr och laddare för annan skadlig kod.
I september varnade Microsoft för att ZLoader sprids via Googles sökordsannonser för att infektera sårbara datorer med Conti ransomware.
CPR tror att MalSmoke ligger bakom den senaste kampanjen på grund av kodningslikheter, användningen av Java-plugins som falska installatörer och på grund av kopplingar mellan registrarposter för domäner som tidigare använts av gruppen för att sprida Raccoon Stealer malware.
Enligt forskarna är autentiseringsgapet som utnyttjas ett problematiskt område eftersom Microsofts strängare signaturalternativ inte är aktiverade som standard – och även om cybersäkerhetsföretaget rekommenderar att användare använder Microsofts uppdatering för verifiering av Authenticode, kan detta också ibland flagga upp legitima installatörer som att ha en ogiltig signatur.
“Allt som allt verkar det som om ZLoader-kampanjförfattarna lägger stora ansträngningar på försvarsflykt och fortfarande uppdaterar sina metoder varje vecka”, kommenterade Kobi Eisenkraft, Malwareforskare på Check Point. “Jag uppmanar starkt användare att tillämpa Microsofts uppdatering för strikt verifiering av Authenticode. Den tillämpas inte som standard.”
Microsoft och Atera har fått kännedom om forskarnas fynd.
“Vi släppte en säkerhetsuppdatering (CVE-2013-3900) 2013 för att hjälpa kunderna att skyddas från utnyttjande av denna sårbarhet”, säger en talesperson för Microsoft till ZDNet. “Kunder som tillämpar uppdateringen och aktiverar konfigurationen som anges i säkerhetsrådgivningen kommer att skyddas. Utnyttjande av denna sårbarhet kräver att en användares dator kompromissar eller övertygar ett offer att köra en specialgjord, signerad PE-fil.”
< h3> Tidigare och relaterad täckning
MosesStaff attackerar organisationer med kryptering skadlig kod: Inget betalningskrav gjorts
Variant av Phorpiex botnät som används för kryptovalutaattacker i Etiopien, Nigeria, Indien och mer
Hackare som låtsas vara iranska myndigheter stjäl kreditkortsinformation och skapa botnät
Har du ett tips? Ta kontakt säkert via WhatsApp | Signalera på +447713 025 499, eller över på Keybase: charlie0
Microsoft | Säkerhets-TV | Datahantering | CXO | Datacenter