Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London. PGP-nøgle: AF40821B.
Fuld biografi udgivet i Zero Day den 5. januar 2022 | Emne: Sikkerhed
Malsmoke-hackergruppen misbruger nu en sårbarhed i Microsofts e-signaturverifikationsværktøj til at implementere malware og stjæle brugerdata.
I onsdags sagde Check Point Research (CPR), at over 2.100 ofre indtil nu har blevet opdaget over hele verden i en ny kampagne, hvor størstedelen er bosat i USA, Canada og Indien – selvom beviser for malware er blevet fundet i 111 lande.
Den ondsindede kode, kaldet ZLoader, er tidligere blevet brugt til at levere banktrojanske heste og har været tæt forbundet med flere ransomware-stammer.
Den nye kampagne menes at være startet i november 2021. Under de indledende angrebsfaser har malware-operatørerne besluttet at bruge Atera, legitim fjernstyringssoftware, som springbræt til at inficere et system.
Selvom det ikke vides, hvordan den ondsindede pakke, der indeholder Atera, distribueres i øjeblikket, vil Atera ved installationen også vise et falsk Java-installationsprogram. Denne fil er imidlertid travlt optaget af at installere en agent, der forbinder slutpunkt-pc'en til en angribers konto, hvilket giver dem mulighed for at fjerninstallere ondsindede nyttelaster.
To .bat-filer uploades derefter til ofrets maskine: den første er ansvarlig for manipulation med Windows Defender, og den anden bruges til at indlæse ZLoader. I denne fase tilføjes Windows Defender-ekskluderinger for at forhindre cybersikkerhedsværktøjet i at starte advarsler, eksisterende software, der kan registrere manipulation af task manager og cmd.exe, er deaktiveret, og yderligere scripts, der bruges til at deaktivere “Admin Approval Mode” udføres.
Desuden føjes et script til startmappen for at blive ved med, og en genstart af pc'en tvinges til at anvende systemændringerne.
Det skal bemærkes, at en signeret, ondsindet .DLL-fil bruges til at inficere en maskine med ZLoader, ifølge teamet. CPR sagde, at filen var ændret, og at der blev inkluderet yderligere kode ved at bruge et kendt problem i signaturvalideringen af udformede PE-filer, nævnt i CVE-2020-1599, CVE-2013-3900 og CVE-2012-0151.
Mens en rettelse blev udstedt for år siden, resulterede falske positiver mod legitime installatører i, at patchen blev tilvalgt.
“Microsoft adresserede problemet i 2013 med en sikkerhedsbulletin og skubbede til en løsning,” siger forskerne. “Men, de udtalte efter at have implementeret det, at de “bestemte, at indvirkningen på eksisterende software kunne være høj.” Derfor trak de i juli 2014 den strengere filbekræftelse og ændrede den til en opt-in-opdatering. Med andre ord, denne rettelse er deaktiveret som standard, hvilket er det, der gør det muligt for malware-forfatteren at ændre den signerede fil.”
Den endelige ZLoader-nyttelast implementeres derefter. Denne malware, en banktrojaner i sig selv, er i stand til at stjæle brugerlegitimationsoplysninger, cookies og følsomme oplysninger – inklusive login-data for finansielle konti – samt fungere som bagdør og indlæser for anden ondsindet kode.
I september advarede Microsoft om, at ZLoader bliver spredt gennem Googles søgeordsannoncer for at inficere sårbare pc'er med Conti ransomware.
CPR mener, at MalSmoke står bag den seneste kampagne på grund af kodningsligheder, brugen af Java-plugins som falske installatører og på grund af forbindelser mellem registrar-registreringer for domæner, som gruppen tidligere har brugt til at sprede Raccoon Stealer malware.
Ifølge forskerne er autentificeringskløften, der bliver udnyttet et problematisk område, da Microsofts strengere signaturmuligheder ikke er aktiveret som standard – og selvom cybersikkerhedsfirmaet anbefaler, at brugere anvender Microsofts opdatering til Authenticode-verifikation, kan dette også lejlighedsvis markere legitime installatører som at have en ugyldig signatur.
“Alt i alt ser det ud til, at ZLoader-kampagnens forfattere lægger en stor indsats i forsvars-unddragelse og stadig opdaterer deres metoder på ugentlig basis,” kommenterede Kobi Eisenkraft, Malware-forsker hos Check Point. “Jeg opfordrer kraftigt brugere til at anvende Microsofts opdatering til streng Authenticode-verifikation. Den anvendes ikke som standard.”
Microsoft og Atera er blevet gjort opmærksomme på forskernes resultater.
“Vi udgav en sikkerhedsopdatering (CVE-2013-3900) i 2013 for at hjælpe med at holde kunderne beskyttet mod udnyttelse af denne sårbarhed,” sagde en talsmand for Microsoft til ZDNet. “Kunder, der anvender opdateringen og aktiverer den konfiguration, der er angivet i sikkerhedsmeddelelsen, vil blive beskyttet. Udnyttelse af denne sårbarhed kræver kompromittering af en brugers maskine eller overbevisning af et offer til at køre en specielt udformet, signeret PE-fil.”
< h3> Tidligere og relateret dækning
MosesStaff angriber organisationer med krypteringsmalware: Intet betalingskrav foretaget
Variant af Phorpiex botnet brugt til cryptocurrency-angreb i Etiopien, Nigeria, Indien og mere
Hackere, der udgiver sig for at være iransk regering, stjæler kreditkortoplysninger og opret botnet
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller over på Keybase: charlie0
Microsoft | Sikkerheds-tv | Datastyring | CXO | Datacentre