No início de novembro, a empresa de segurança cibernética Check Point Research descobriu um ataque maciço do Trojan Zloader, que rouba dados para acessar bancos da Internet e dados pessoais de usuários. Em 2 de janeiro, máquinas associadas a 2.170 endereços IP foram infectadas com malware. O ataque é notável por explorar uma vulnerabilidade antiga.
Fonte da imagem: Gerd Altmann / pixabay.com
O Trojan Zloader existe há muito tempo. Por exemplo, em 2020 foi distribuído por meio de recursos adultos e até anúncios do Google. O novo ataque em massa, dizem os especialistas, é único porque se baseia em um sistema de verificação de software baseado em assinaturas digitais: uma carga de malware é incorporada em uma biblioteca de sistema assinada que não é verificada por ferramentas de proteção do sistema operacional.
A infecção é realizada através do Atera Remote Access and Management System (RMM) — uma versão demo modificada desta ferramenta corporativa padrão é instalada pela própria vítima como um arquivo java.msi, no qual um endereço de e-mail controlado pelos invasores é especificado como administrador. Em seguida, o operador baixa dois arquivos bat para o computador da vítima usando a função de inicialização do script. O primeiro script modifica as configurações do Windows Defender adicionando as exceções necessárias e o segundo garante a entrega de dados de recursos de terceiros.
Em seguida, o arquivo de sistema mshta.exe (geralmente usado para executar arquivos HTML) é iniciado com a biblioteca appContast.dll como parâmetro. Esta biblioteca é assinada, mas contém código malicioso que baixa e inicia o trojan Zloader. A Microsoft corrigiu o erro com a verificação de certificados em 2013, mas mais tarde em 2014 a empresa afirmou que a atualização correspondente poderia afetar o software existente e ficou disponível para instalação apenas a pedido do usuário. De acordo com especialistas da Check Point Research, o grupo de hackers Malsmoke está por trás de uma nova série de ataques: seus membros tendem a passar malware como plugins Java, e a URL associada ao ataque já foi usada pelo grupo em 2020.
O beta fechado de The Expanse: Osiris Reborn, RPG de ação e ficção científica da…
O impacto do conflito militar no Oriente Médio sobre a indústria de semicondutores asiática, ao…
Uma entusiasta que se identificou como Hailey lançou um projeto original, que ela chamou de…
Autoridades do Oriente Médio alegaram que os EUA usaram backdoors ou botnets para desativar alguns…
O boom da IA, caracterizado pela alta demanda por memória e aumentos acentuados de preços,…
A Gigabyte apresentou o Gaming A18 Pro, um notebook gamer com design fino, tela grande…