Хакерская группа Malsmoke использует уязвимость в инструменте проверки электронной подписи Microsoft для развертывания вредоносных программ и кражи пользовательских данных.
В среду Check Point Research (CPR) сообщила, что на данный момент были обнаружены 2100 жертв во всем мире в рамках новой атаки, большинство из которых проживают в США, Канаде и Индии, хотя доказательства наличия вредоносного ПО были обнаружены в 111 странах.
Вредоносный код, получивший название ZLoader, в прошлом использовался для доставки банковских троянов и был тесно связан с несколькими вирусами вымогателями.
Предполагается, что новая атака стартовала в ноябре 2021 года. На начальных этапах атаки злоумышленники использовали Atera, легальное программное обеспечение для удаленного управления, в качестве “трамплина” для заражения системы.
В настоящее время неизвестно как распространяется вредоносный пакет, содержащий Atera, но при его установке будет указан поддельный установщик Java. Этот файл устанавливает агента, который подключает конечный компьютер к учетной записи злоумышленника, позволяя ему удаленно развертывать вредоносный код.
А именно, на компьютер жертвы загружаются два файла .bat: первый отвечает за подделку Защитника Windows, а второй используется для загрузки ZLoader. На этом этапе добавляются исключения Защитника Windows, чтобы инструмент кибербезопасности не запускал предупреждения. Существующее программное обеспечение, которое может обнаруживать манипуляции с диспетчером задач и cmd.exe, отключается. Также выполняются дополнительные сценарии, используемые для отключения «режима одобрения администратором».
Кроме того, в папку автозагрузки добавляется сценарий для сохранения, а при перезагрузке ПК изменения системы применяются принудительно.
По мнению команды следует отметить подписанный вредоносный файл .DLL, используемый для заражения машины с помощью ZLoader. CPR указывает, что файл был изменен и был включен дополнительный код с использованием известной проблемы при проверке подписи созданных PE-файлов, упомянутых в CVE-2020-1599, CVE-2013-3900, и CVE-2012-0151.
Хотя исправление было выпущено много лет назад и имелись ложные срабатывания против законных установщиков патч был зарегистрирован.
«Microsoft решила проблему в 2013 году с помощью бюллетеня по безопасности и предложила исправление», – говорят исследователи. Однако после его внедрения они заявили, что «определили, что влияние на существующее программное обеспечение может быть высоким». Поэтому в июле 2014 года они отменили более строгую проверку файлов и заменили ее на дополнительное обновление. Другими словами, это исправление по умолчанию отключено, что позволяет автору вредоносной программы изменять подписанный файл “.
В конце вредоносной атаки загружается ZLoader. Это вредоносное ПО, являющееся банковским трояном, способно красть учетные данные пользователей, файлы cookie и конфиденциальную информацию, включая данные для входа в финансовый аккаунт, а также действовать как бэкдор и загрузчик для другого вредоносного кода.
В сентябре Microsoft предупредила, что ZLoader распространяется через рекламные объявления Google по ключевым словам, чтобы заразить уязвимые ПК с помощью программы-вымогателя Conti.
CPR считает, что MalSmoke стоит за последней кампанией из-за сходства кодов, использования плагинов Java в качестве поддельных установщиков и из-за связей между записями регистраторов для доменов, которые ранее использовались группой для распространения вредоносного ПО Raccoon Stealer.
По словам исследователей, используемый пробел аутентификации является проблемной областью, поскольку более строгие параметры подписи Microsoft не включены по умолчанию – и хотя компания по кибербезопасности рекомендует пользователям применять обновление Microsoft для проверки Authenticode, это обновление может иногда помечать законные установщики как имеющие недействительную подпись.
«В общем, похоже, что авторы кампании ZLoader приложили огромные усилия для обхода защиты и все еще обновляют свои методы еженедельно», – прокомментировал Коби Айзенкрафт (Kobi Eisenkraft), исследователь вредоносных программ в Check Point. «Я настоятельно рекомендую пользователям применять обновление Microsoft для строгой проверки Authenticode. По умолчанию оно не применяется».
Microsoft и Atera были проинформированы о выводах исследователей.
«Мы выпустили обновление безопасности (CVE-2013-3900) в 2013 году, чтобы защитить клиентов от использования этой уязвимости», – рассказал представитель Microsoft. «Клиенты, применившие обновление и включившие конфигурацию, указанную в рекомендациях по безопасности, будут защищены. Использование этой уязвимости требует взлома компьютера пользователя или убеждения жертвы запустить специально созданный подписанный PE-файл».