Περί τα 2.170 θύματα σε 111 χώρες μετρά μέχρι στιγμής το κακόβουλο λογισμικό, ονόματι ZLoader, το οποίο εκμεταλλεύεται την επαλήθευση των ηλεκτρονικών υπογραφών της Microsoft, για να κλέψει ευαίσθητες πληροφορίες των θυμάτων.
Σύμφωνα με την Check Point Research (CPR), εκ των κορυφαίων παρόχων λύσεων ασφάλειας στον κυβερνοχώρο για επιχειρήσεις και κυβερνήσεις, το κακόβουλο λογισμικό είναι ένα τραπεζικό trojan που χρησιμοποιεί web injection για να κλέψει cookies, κωδικούς πρόσβασης και οποιαδήποτε άλλη ευαίσθητη πληροφορία.
Το ZLoader δεν είναι εντελώς καινούργιο. Έχει μπει στο ραντάρ της CISA ήδη από τον Σεπτέμβριο του 2021 ως μέθοδος που ευθύνεται για τη διανομή του ransomware Conti. Τότε η η Microsoft είχε δηλώσει ότι οι χειριστές του ZLoader αγόραζαν διαφημίσεις με λέξεις-κλειδιά της Google για να διανέμουν διάφορα στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware Ryuk.
Την τρέχουσα περίοδο ωστόσο, κάνει την επανεμφάνισή του, έχοντας ήδη στοχεύσει περισσότερα από 2.000 θύματα σε 111 χώρες. Σύμφωνα με την Check Point, η εγκληματική ομάδα του κυβερνοχώρου που βρίσκεται πίσω από το ZLoader είναι η MalSmoke.
Η αλυσίδα μόλυνσης
Βάσει της έκθεσης της Chekc Point που περιγράφει λεπτομερώς την επανεμφάνιση του ZLoader, η αλυσίδα μόλυνσης εξελίσσεται κάπως έτσι:
- Η επίθεση ξεκινά με την εγκατάσταση νόμιμου προγράμματος απομακρυσμένης διαχείρισης που προσποιείται ότι είναι εγκατάσταση Java
- Μετά από αυτή την εγκατάσταση, ο δράστης έχει πλήρη πρόσβαση στο σύστημα και μπορεί να ανεβάζει/κατεβάζει αρχεία και επίσης να εκτελεί σενάρια, οπότε ο επιτιθέμενος ανεβάζει και εκτελεί μερικά σενάρια που κατεβάζουν περισσότερα σενάρια που εκτελούν το mshta.exe με το αρχείο appContast.dll ως παράμετρο
- Το αρχείο appContast.dll είναι υπογεγραμμένο από τη Microsoft, παρόλο που στο τέλος του αρχείου έχουν προστεθεί περισσότερες πληροφορίες
- Οι πρόσθετες πληροφορίες κατεβάζουν και εκτελούν το τελικό ωφέλιμο φορτίο Zloader, υποκλέπτοντας διαπιστευτήρια χρήστη και προσωπικές πληροφορίες από τα θύματα
Μέχρι στιγμής, τα περισσότερα θύματα κατοικούν στις Ηνωμένες Πολιτείες, ακολουθούν ο Καναδάς και η Ινδία.
«Οι άνθρωποι πρέπει να γνωρίζουν ότι δεν μπορούν να εμπιστεύονται αμέσως την ψηφιακή υπογραφή ενός αρχείου. Αυτό που βρήκαμε ήταν μια νέα καμπάνια του ZLoader που εκμεταλλεύεται την επαλήθευση της ψηφιακής υπογραφής της Microsoft για να κλέψει ευαίσθητες πληροφορίες των χρηστών. Αρχίσαμε να βλέπουμε για πρώτη φορά στοιχεία της νέας εκστρατείας γύρω στον Νοέμβριο του 2021. Οι επιτιθέμενοι, στους οποίους αποδίδουμε την επίθεση είναι οι MalSmoke, οι οποίοι επιδιώκουν την κλοπή διαπιστευτηρίων χρηστών και προσωπικών πληροφοριών από τα θύματα. Μέχρι στιγμής, έχουμε μετρήσει πάνω από 2.170 θύματα σε 111 χώρες και συνεχίζουμε. Συνολικά, φαίνεται ότι οι δράστες της εκστρατείας Zloader καταβάλλουν μεγάλη προσπάθεια για την αποφυγή του εντοπισμού και εξακολουθούν να ενημερώνουν τις μεθόδους τους σε εβδομαδιαία βάση. Προτρέπω τους χρήστες να εφαρμόσουν την ενημέρωση της Microsoft για αυστηρή επαλήθευση Authenticode, καθώς δεν είναι εγκατεστημένο από προεπιλογή» δήλωσε σχετικά ο Kobi Eisenkraft, Malware Researcher της Check Point.
Συμβουλές ασφαλείας
Για μεγαλύτερη προστασία από το εν λόγω κακόβουλο λογισμικό η Check Point προτείνει τις παρακάτω συμβουλές ασφαλείας.
- Εφαρμόστε την ενημερωμένη έκδοση της Microsoft για αυστηρή επαλήθευση Authenticode. Δεν εφαρμόζεται από προεπιλογή.
- Μην εγκαθιστάτε προγράμματα από άγνωστες πηγές ή τοποθεσίες.
- Μην ανοίγετε συνδέσμους και άγνωστα συνημμένα αρχεία που λαμβάνετε μέσω ταχυδρομείου.