Se ha descubierto una campaña de malware en curso ZLoader que explota las herramientas de monitoreo remoto y una falla de nueve años relacionada con la verificación de la firma digital de Microsoft para desviar las credenciales de los usuarios y la información confidencial.
La empresa israelí de ciberseguridad Check Point Research, que ha estado rastreando la sofisticada cadena de infecciones desde noviembre de 2021, la atribuyó a un grupo de ciberdelincuentes llamado Malsmoke , citando similitudes con ataques anteriores.
«Las técnicas incorporadas en la cadena de infección incluyen el uso de software legítimo de administración remota (RMM) para obtener acceso inicial a la máquina objetivo», dijo Golan Cohen de Check Point en un informe compartido con The Hacker News. «El malware luego explota el método de verificación de firma digital de Microsoft para inyectar su carga útil en una DLL del sistema firmada para evadir aún más las defensas del sistema».
Se dice que la campaña ha cobrado 2.170 víctimas en 111 países hasta el 2 de enero de 2022, con la mayoría de las partes afectadas ubicadas en los EE. UU., Canadá, India, Indonesia y Australia. También es notable por el hecho de que se envuelve en capas de ofuscación y otros métodos de detección y evasión para eludir el descubrimiento y el análisis.
El flujo de ataque comienza con la instalación de un software de monitoreo remoto empresarial legítimo llamado Atera, que lo usa para cargar y descargar archivos arbitrarios, así como para ejecutar scripts maliciosos. Sin embargo, aún se desconoce el modo exacto de distribución del archivo de instalación.
Uno de los archivos se usa para agregar exclusiones a Windows Defender, mientras que un segundo archivo procede a recuperar y ejecutar cargas útiles de la siguiente etapa, incluido un archivo DLL llamado «appContast.dll» que, a su vez, se usa para ejecutar el binario ZLoader ( «9092.dll»).
Lo que se destaca aquí es que appContast.dll no solo está firmado por Microsoft con una firma válida, sino también que el archivo, originalmente un módulo de resolución de aplicaciones («AppResolver.dll»), ha sido modificado e inyectado con un script malicioso para cargar. el malware de última etapa.
Esto es posible gracias a la explotación de un problema conocido rastreado como CVE-2013-3900 , una vulnerabilidad de validación de firma de WinVerifyTrust, que permite a los atacantes remotos ejecutar código arbitrario a través de ejecutables portátiles especialmente diseñados agregando el fragmento de código malicioso sin dejar de mantener la validez del archivo. firma.
Aunque Microsoft solucionó el error en 2013, la compañía revisó sus planes en julio de 2014 para ya no «imponer el comportamiento de verificación más estricto como una funcionalidad predeterminada en las versiones compatibles de Microsoft Windows» y lo puso a disposición como una función opcional. «En otras palabras, esta solución está deshabilitada de forma predeterminada, que es lo que permite al autor del malware modificar el archivo firmado», dijo Cohen.
«Parece que los autores de la campaña ZLoader pusieron un gran esfuerzo en la evasión de la defensa y todavía están actualizando sus métodos semanalmente», dijo el investigador de malware de Check Point, Kobi Eisenkraft, instando a los usuarios a abstenerse de instalar software de fuentes desconocidas y aplicar las estrictas normas de Microsoft. Verificación de firma de Windows Authenticode para archivos ejecutables.
