Charlie Osborne er en cybersikkerhetsjournalist og fotograf som skriver for ZDNet og CNET fra London. PGP-nøkkel: AF40821B.
Full bio publisert i Zero Day 5. januar 2022 | Emne: Sikkerhet
Malsmoke-hackergruppen misbruker nå en sårbarhet i Microsofts verifiseringsverktøy for e-signaturer for å distribuere skadelig programvare og stjele brukerdata.
Onsdag sa Check Point Research (CPR) at per nå har over 2100 ofre blitt oppdaget over hele verden i en ny kampanje, med flertallet bosatt i USA, Canada og India – selv om bevis på skadelig programvare er funnet i 111 land.
Den ondsinnede koden, kalt ZLoader, har tidligere blitt brukt til å levere banktrojanere og har vært nært knyttet til flere løsepengevarestammer.
Den nye kampanjen antas å ha startet i november 2021. Under de innledende angrepsstadiene har operatørene av skadelig programvare bestemt seg for å bruke Atera, legitim programvare for ekstern administrasjon, som springbrett for å infisere et system.
Selv om det ikke er kjent hvordan den ondsinnede pakken som inneholder Atera for øyeblikket distribueres, vil Atera ved installasjon også vise et falskt Java-installasjonsprogram. Denne filen er imidlertid opptatt med å installere en agent som kobler endepunkt-PC-en til en angripers konto, slik at de kan distribuere ondsinnede nyttelaster eksternt.
To .bat-filer blir deretter lastet opp til offerets maskin: den første er ansvarlig for tukling med Windows Defender, og den andre brukes til å laste ZLoader. I løpet av dette stadiet blir Windows Defender-ekskluderinger lagt til for å stoppe cybersikkerhetsverktøyet fra å starte varsler, eksisterende programvare som kan oppdage manipulering av oppgavebehandlingen og cmd.exe er deaktivert, og ytterligere skript som brukes til å deaktivere “Admin Approval Mode” kjøres.
I tillegg legges et skript til oppstartsmappen for utholdenhet, og en omstart av PCen tvinges til å bruke systemendringene.
Det er viktig å merke seg en signert, ondsinnet .DLL-fil som brukes til å infisere en maskin med ZLoader, ifølge teamet. CPR sa at filen ble endret og tilleggskode ble inkludert ved å bruke et kjent problem i signaturvalideringen av lagde PE-filer, nevnt i CVE-2020-1599, CVE-2013-3900 og CVE-2012-0151.
Mens en rettelse ble utstedt for år siden, førte falske positiver mot legitime installatører til at oppdateringen ble valgt.
“Microsoft tok opp problemet i 2013 med en sikkerhetsbulletin og presset på en løsning,” sier forskerne. “Men de uttalte etter å ha implementert det at de “bestemte at innvirkningen på eksisterende programvare kunne være høy.” Derfor trakk de i juli 2014 den strengere filverifiseringen og endret den til en opt-in-oppdatering. Med andre ord, denne løsningen er deaktivert som standard, som er det som gjør at skadevareforfatteren kan endre den signerte filen.”
Den siste nyttelasten for ZLoader distribueres deretter. Denne skadevaren, en banktrojaner i seg selv, er i stand til å stjele brukerlegitimasjon, informasjonskapsler og sensitiv informasjon – inkludert påloggingsdata for finanskontoer – i tillegg til å fungere som en bakdør og laster for annen ondsinnet kode.
I september advarte Microsoft om at ZLoader spres gjennom Googles søkeordannonser for å infisere sårbare PC-er med Conti løsepengeprogramvare.
CPR mener at MalSmoke står bak den siste kampanjen på grunn av kodelikheter, bruk av Java-plugins som falske installatører, og på grunn av koblinger mellom registrar-poster for domener som tidligere ble brukt av gruppen for å spre Raccoon Stealer malware.
Ifølge forskerne er autentiseringsgapet som utnyttes et problematisk område ettersom Microsofts strengere signaturalternativer ikke er aktivert som standard – og selv om cybersikkerhetsfirmaet anbefaler at brukere bruker Microsofts oppdatering for Authenticode-verifisering, kan dette også av og til flagge legitime installatører som å ha en ugyldig signatur.
“Alt i alt ser det ut til at ZLoader-kampanjens forfattere legger stor innsats i forsvarsunndragelse og fortsatt oppdaterer metodene sine på ukentlig basis,” kommenterte Kobi Eisenkraft, Malware-forsker ved Check Point. “Jeg oppfordrer sterkt brukere til å bruke Microsofts oppdatering for streng autentikode-verifisering. Den brukes ikke som standard.”
Microsoft og Atera er gjort kjent med forskernes funn.
“Vi ga ut en sikkerhetsoppdatering (CVE-2013-3900) i 2013 for å holde kundene beskyttet mot utnyttelse av dette sikkerhetsproblemet,” sa en talsperson for Microsoft til ZDNet. “Kunder som bruker oppdateringen og aktiverer konfigurasjonen som er angitt i sikkerhetsrådgivningen, vil bli beskyttet. Utnyttelse av dette sikkerhetsproblemet krever at en brukers maskin kompromitteres eller at et offer overbevises om å kjøre en spesiallaget, signert PE-fil.”
< h3> Tidligere og relatert dekning
MosesStaff angriper organisasjoner med krypteringsskadelig programvare: Ingen betalingskrav gjort
Variant av Phorpiex botnett brukt til kryptovalutangrep i Etiopia, Nigeria, India og mer
Hackere som utgir seg for å være iranske myndigheter stjeler kredittkortinformasjon og opprett botnett
Har du et tips? Ta kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Microsoft | Sikkerhets-TV | Databehandling | CXO | Datasentre