A Check Point Research, divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., alerta para uma nova campanha de malware que explora a verificação da assinatura digital para roubar dados pessoais e informações sensíveis. O ZLoader é o malware dessa campanha que já soma mais de 2.000 vítimas em 211 países. No Brasil, o número de vítimas detectado pela CPR é de 21 residentes no país.
A divisão CPR atribui a campanha maliciosa, que se refere a novembro de 2021, ao grupo Malsmoke, que tem feito um grande esforço para aprimorar as suas técnicas evasivas. O ZLoader é conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.
O ZLoader é um cavalo de Troia bancário que recorre a web injection, uma técnica que, por meio da injeção de código malicioso, permite roubar cookies, senhas e quaisquer outras informações sensíveis. Conhecido por distribuição de malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do ransomware Conti.
Naquele mesmo mês, a Microsoft alertou para a alteração do método de ataque do ZLoader. Os atacantes estavam comprando palavras-chave do Google Ads para distribuir vários tipos de malware, incluindo o ransomware Ryuk. Agora, a divisão Check Point Research noticia o ressurgimento do ZLoader numa campanha que conta já com mais de 2.000 vítimas espalhadas por mais de 111 países. O ataque é atribuído ao grupo de cibercriminosos MalSmoke.
Cadeia de Infecção
1. A infecção começa com a instalação do software Atera na máquina da vítima. Atera é um software de gerenciamento e monitoramento remoto corporativo legítimo, projetado para uso de TI.
2. Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e baixar arquivos, bem como executar scripts. Assim, o atacante baixa e executa scripts que baixam mais scripts que, por sua vez, executam o software mshta exe com o arquivo appContast dll como parâmetro.
3. O arquivo appConstant dll é assinado pela Microsoft, embora mais informações tenham sido adicionadas ao final do arquivo.
4. As informações adicionadas baixam e executam a carga útil final do Zloader, roubando credenciais do usuário e informações pessoais das vítimas.
Fig. 1 Imagem Simplificada da Cadeia de Infecção
Vítimas: principais países afetados
Até o momento, a CPR registrou o número de 2.170 vítimas únicas. A maioria reside nos Estados Unidos, seguidos pelo Canadá e Índia. O Brasil registra 21 vítimas.
Fig. 2 Número de vítimas por país
A CPR informou à Microsoft e à Atera a respeito de suas descobertas e conclusões.
"As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um arquivo. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos usuários. Começamos por ver evidências de uma nova campanha em novembro de 2021. Os atacantes, que pensamos ser do grupo MalSmoke, pretendem roubar credenciais de usuário e informações pessoais das vítimas. Até agora, contabilizamos mais de 2.000 vítimas em mais de 111 países", comenta Kobi Eisenkraft, pesquisador de malware da Check Point Software.
"Em suma, parece que os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente atualizando os seus métodos. Recomendo fortemente a todos os usuários que implementem a atualização da Microsoft de forma a ter uma verificação mais rigorosa do Autheticode, uma vez que não é implementado automaticamente", reforça Eisenkraft.
