Ataque cibernético maciço descoberto por meio da vulnerabilidade de 2013 no sistema de verificação de assinatura digital do Windows

No início de novembro, a empresa de segurança cibernética Check Point Research descobriu um ataque maciço do Trojan Zloader, que rouba dados para acessar bancos da Internet e dados pessoais de usuários. Em 2 de janeiro, máquinas associadas a 2.170 endereços IP foram infectadas com malware. O ataque é notável por explorar uma vulnerabilidade antiga.

Fonte da imagem: Gerd Altmann / pixabay.com

O Trojan Zloader existe há muito tempo. Por exemplo, em 2020 foi distribuído por meio de recursos adultos e até anúncios do Google. O novo ataque em massa, dizem os especialistas, é único porque se baseia em um sistema de verificação de software baseado em assinaturas digitais: uma carga de malware é incorporada em uma biblioteca de sistema assinada que não é verificada por ferramentas de proteção do sistema operacional.

A infecção é realizada através do Atera Remote Access and Management System (RMM) — uma versão demo modificada desta ferramenta corporativa padrão é instalada pela própria vítima como um arquivo java.msi, no qual um endereço de e-mail controlado pelos invasores é especificado como administrador. Em seguida, o operador baixa dois arquivos bat para o computador da vítima usando a função de inicialização do script. O primeiro script modifica as configurações do Windows Defender adicionando as exceções necessárias e o segundo garante a entrega de dados de recursos de terceiros.

Em seguida, o arquivo de sistema mshta.exe (geralmente usado para executar arquivos HTML) é iniciado com a biblioteca appContast.dll como parâmetro. Esta biblioteca é assinada, mas contém código malicioso que baixa e inicia o trojan Zloader. A Microsoft corrigiu o erro com a verificação de certificados em 2013, mas mais tarde em 2014 a empresa afirmou que a atualização correspondente poderia afetar o software existente e ficou disponível para instalação apenas a pedido do usuário. De acordo com especialistas da Check Point Research, o grupo de hackers Malsmoke está por trás de uma nova série de ataques: seus membros tendem a passar malware como plugins Java, e a URL associada ao ataque já foi usada pelo grupo em 2020.