Кибератака използва цифрово подписан ресурс на Windows

Потребители по цял свят са подложени на масирана атака с троянски кон Zloader
(снимка: CC0 Public Domain)

Масирана атака с троянски кон Zloader, който краде данни за достъп до интернет банкиране и лични данни на потребителите, бе засечена през ноември от компанията за сигурност Check Point Research. Сега тя продължава с висока интензивност и към 2 януари злонамереният софтуер вече е заразил Windows машини, свързани с 2170 уникални адреса (IP-та). Атаката е забележителна с това, че използва стара уязвимост.

Троянският кон Zloader съществува от доста време. Например, през 2020 г. се разпространяваше чрез съдържание за възрастни и дори реклами в Google. Според експертите, новата масивна атака е уникална с това, че се основава на система за проверка на софтуер, базирана на цифрови подписи: полезният товар на злонамерения софтуер е вграден в подписана системна библиотека, която не се проверява от инструментите за защита на ОС.

Инфектирането става чрез системата за отдалечен достъп и управление Atera (RMM) – модифицирана демо версия на този стандартен корпоративен инструмент се инсталира от самата жертва като файл java.msi, в който имейл адрес, контролиран от киберпрестъпниците, е посочен като администратор, пояснява Dark Reading. След това операторът изтегля два bat файла на компютъра на жертвата, използвайки функцията за стартиране на скрипт. Първият скрипт променя настройките на Windows Defender, като добавя необходимите изключения, а вторият осигурява доставка на данни от ресурси на трети страни.

На следващ етап системният файл mshta.exe (обикновено се използва за пускане на HTML файлове) се стартира като параметър с библиотеката appContast.dll. Тази библиотека е подписана, но съдържа злонамерен код, който изтегля и изпълнява троянски кон Zloader. Microsoft коригира грешката с проверката на сертификатите още през 2013 г., но по-късно през 2014 г. компанията обяви, че съответната актуализация може да засегне съществуващия софтуер и тя стана достъпна за инсталиране само по искане на потребителя.

Според експерти от Check Point Research, зад новата серия от атаки стои хакерската група Malsmoke: нейните участници пускат злонамерен софтуер като Java плъгини, а URL адресът, свързан с атаката, вече е бил използван от групата през 2020 г.

Коментар