No início de novembro, a empresa de segurança cibernética Check Point Research descobriu um ataque maciço do Trojan Zloader, que rouba dados para acessar bancos da Internet e dados pessoais de usuários. Em 2 de janeiro, máquinas associadas a 2.170 endereços IP foram infectadas com malware. O ataque é notável por explorar uma vulnerabilidade antiga.
Fonte da imagem: Gerd Altmann / pixabay.com
O Trojan Zloader existe há muito tempo. Por exemplo, em 2020 foi distribuído por meio de recursos adultos e até anúncios do Google. O novo ataque em massa, dizem os especialistas, é único porque se baseia em um sistema de verificação de software baseado em assinaturas digitais: uma carga de malware é incorporada em uma biblioteca de sistema assinada que não é verificada por ferramentas de proteção do sistema operacional.
A infecção é realizada através do Atera Remote Access and Management System (RMM) — uma versão demo modificada desta ferramenta corporativa padrão é instalada pela própria vítima como um arquivo java.msi, no qual um endereço de e-mail controlado pelos invasores é especificado como administrador. Em seguida, o operador baixa dois arquivos bat para o computador da vítima usando a função de inicialização do script. O primeiro script modifica as configurações do Windows Defender adicionando as exceções necessárias e o segundo garante a entrega de dados de recursos de terceiros.
Em seguida, o arquivo de sistema mshta.exe (geralmente usado para executar arquivos HTML) é iniciado com a biblioteca appContast.dll como parâmetro. Esta biblioteca é assinada, mas contém código malicioso que baixa e inicia o trojan Zloader. A Microsoft corrigiu o erro com a verificação de certificados em 2013, mas mais tarde em 2014 a empresa afirmou que a atualização correspondente poderia afetar o software existente e ficou disponível para instalação apenas a pedido do usuário. De acordo com especialistas da Check Point Research, o grupo de hackers Malsmoke está por trás de uma nova série de ataques: seus membros tendem a passar malware como plugins Java, e a URL associada ao ataque já foi usada pelo grupo em 2020.
No dia 1º de abril, o estúdio sul-coreano Shift Up (Stellar Blade) anunciou a aquisição…
Segundo pesquisa do Instituto de Tecnologia de Massachusetts (MIT), a inteligência artificial já poderia substituir…
A Xiaomi já começou a atualizar seus dispositivos para o HyperOS 3.1 na China, e…
O aumento da concentração da produção do iPhone na Índia foi impulsionado por considerações geopolíticas,…
A China concluiu com sucesso o primeiro voo de teste do drone de carga mais…
No início de fevereiro, foi divulgado que a TSMC planejava iniciar a produção de chips…