No início de novembro, a empresa de segurança cibernética Check Point Research descobriu um ataque maciço do Trojan Zloader, que rouba dados para acessar bancos da Internet e dados pessoais de usuários. Em 2 de janeiro, máquinas associadas a 2.170 endereços IP foram infectadas com malware. O ataque é notável por explorar uma vulnerabilidade antiga.
Fonte da imagem: Gerd Altmann / pixabay.com
O Trojan Zloader existe há muito tempo. Por exemplo, em 2020 foi distribuído por meio de recursos adultos e até anúncios do Google. O novo ataque em massa, dizem os especialistas, é único porque se baseia em um sistema de verificação de software baseado em assinaturas digitais: uma carga de malware é incorporada em uma biblioteca de sistema assinada que não é verificada por ferramentas de proteção do sistema operacional.
A infecção é realizada através do Atera Remote Access and Management System (RMM) — uma versão demo modificada desta ferramenta corporativa padrão é instalada pela própria vítima como um arquivo java.msi, no qual um endereço de e-mail controlado pelos invasores é especificado como administrador. Em seguida, o operador baixa dois arquivos bat para o computador da vítima usando a função de inicialização do script. O primeiro script modifica as configurações do Windows Defender adicionando as exceções necessárias e o segundo garante a entrega de dados de recursos de terceiros.
Em seguida, o arquivo de sistema mshta.exe (geralmente usado para executar arquivos HTML) é iniciado com a biblioteca appContast.dll como parâmetro. Esta biblioteca é assinada, mas contém código malicioso que baixa e inicia o trojan Zloader. A Microsoft corrigiu o erro com a verificação de certificados em 2013, mas mais tarde em 2014 a empresa afirmou que a atualização correspondente poderia afetar o software existente e ficou disponível para instalação apenas a pedido do usuário. De acordo com especialistas da Check Point Research, o grupo de hackers Malsmoke está por trás de uma nova série de ataques: seus membros tendem a passar malware como plugins Java, e a URL associada ao ataque já foi usada pelo grupo em 2020.
O Google está trabalhando para resolver um problema comum em assistentes de IA: a tendência…
Os desenvolvedores do estúdio russo Battlestate Games anunciaram o lançamento de uma atualização técnica para…
Carl Pei, fundador e CEO da Nothing, expressou a opinião de que uma crise global…
O primeiro-ministro britânico, Keir Starmer, afirmou que a plataforma de mídia social X está "tomando…
A Blackview anunciou o lançamento do tablet Blackview MEGA 12, que combina uma tela grande,…
Na CES 2026, a Phison demonstrou PCs para o consumidor com o aiDAPTIV+, uma combinação…