Κακόβουλο λογισμικό πλήττει τουλάχιστον 2.000 θύματα σε 111 χώρες
Με αυξημένη δραστηριότητα αποχαιρέτησε το 2021 το ψηφιακό έγκλημα με τις εκστρατείες κακόβουλου λογισμικού να βρίσκονται σε έξαρση. Οι ειδικοί εντόπισαν μια νέα εκστρατεία κακόβουλου λογισμικού που εκμεταλλεύεται την επαλήθευση ψηφιακών υπογραφών, για να κλέψει ευαίσθητες πληροφορίεςΜε αυξημένη δραστηριότητα αποχαιρέτησε το 2021 το ψηφιακό έγκλημα με τις εκστρατείες κακόβουλου λογισμικού να βρίσκονται σε έξαρση. Οι ειδικοί εντόπισαν μια νέα εκστρατεία κακόβουλου λογισμικού που εκμεταλλεύεται την επαλήθευση ψηφιακών υπογραφών, για να κλέψει ευαίσθητες πληροφορίες.
Σύμφωνα με την Check Point Research (CPR), το κακόβουλο λογισμικό με την ονομασία ZLoader είναι ένα τραπεζικό trojan, που εκμεταλλεύεται την επαλήθευση των ψηφιακών υπογραφών της Microsoft. Το ZLoader χρησιμοποιεί web injection για να κλέψει cookies, κωδικούς πρόσβασης και οποιαδήποτε ευαίσθητη πληροφορία. Έχει δε γίνει γνωστό ότι στο παρελθόν έχει μεταφέρει ransomware και βρέθηκε στο ραντάρ της CISA τον Σεπτέμβριο του 2021 ως μέθοδος που ευθύνεται για τη διανομή του ransomware Conti.
Κατά τη διάρκεια του ίδιου μήνα, η Microsoft δήλωσε ότι οι χειριστές του ZLoader αγόραζαν διαφημίσεις με λέξεις-κλειδιά της Google για να διανέμουν διάφορα στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware Ryuk.
Η CPR δημοσίευσε μια έκθεση που περιγράφει λεπτομερώς την επανεμφάνιση του ZLoader σε μια εκστρατεία που έχει πάρει πάνω από 2.000 θύματα σε 111 χώρες. Η CPR αποδίδει την εκστρατεία στην εγκληματική ομάδα του κυβερνοχώρου MalSmoke.
Ειδικότερα, εντοπίστηκαν 2.170 μοναδικά θύματα, εκ των οποίων τα περισσότερα κατοικούν στις ΗΠΑ (40%), ενώ ακολουθούν ο Καναδάς και η Ινδία. Η CPR προτρέπει τους χρήστες να εφαρμόσουν την ενημέρωση της Microsoft για αυστηρή επαλήθευση Authenticode, καθώς η ενημέρωση δεν προωθείται ως προεπιλογή.
Αλυσίδα μόλυνσης
1. Η επίθεση ξεκινά με την εγκατάσταση νόμιμου προγράμματος απομακρυσμένης διαχείρισης που προσποιείται ότι είναι εγκατάσταση Java
2. Μετά από αυτή την εγκατάσταση, ο δράστης έχει πλήρη πρόσβαση στο σύστημα και μπορεί να ανεβάζει/κατεβάζει αρχεία και επίσης να εκτελεί σενάρια, οπότε ο επιτιθέμενος ανεβάζει και εκτελεί μερικά σενάρια που κατεβάζουν περισσότερα σενάρια που εκτελούν το mshta.exe με το αρχείο appContast.dll ως παράμετρο
3. Το αρχείο appContast.dll είναι υπογεγραμμένο από τη Microsoft, παρόλο που στο τέλος του αρχείου έχουν προστεθεί περισσότερες πληροφορίες
4. Οι πρόσθετες πληροφορίες κατεβάζουν και εκτελούν το τελικό ωφέλιμο φορτίο Zloader, υποκλέπτοντας διαπιστευτήρια χρήστη και προσωπικές πληροφορίες από τα θύματα
«Οι άνθρωποι πρέπει να γνωρίζουν ότι δεν μπορούν να εμπιστεύονται αμέσως την ψηφιακή υπογραφή ενός αρχείου. Αυτό που βρήκαμε ήταν μια νέα καμπάνια του ZLoader που εκμεταλλεύεται την επαλήθευση της ψηφιακής υπογραφής της Microsoft για να κλέψει ευαίσθητες πληροφορίες των χρηστών. Οι επιτιθέμενοι, στους οποίους αποδίδουμε την επίθεση είναι οι MalSmoke, οι οποίοι επιδιώκουν την κλοπή διαπιστευτηρίων χρηστών και προσωπικών πληροφοριών από τα θύματα» αναφέρει η Check Point.
Συμβουλές ασφαλείας
1Εφαρμόστε την ενημερωμένη έκδοση της Microsoft για αυστηρή επαλήθευση Authenticode. Δεν εφαρμόζεται από προεπιλογή.
2. Μην εγκαθιστάτε προγράμματα από άγνωστες πηγές ή τοποθεσίες.
3Μην ανοίγετε συνδέσμους και άγνωστα συνημμένα αρχεία που λαμβάνετε μέσω ταχυδρομείου.
