No início de novembro, a empresa de segurança cibernética Check Point Research descobriu um ataque maciço do Trojan Zloader, que rouba dados para acessar bancos da Internet e dados pessoais de usuários. Em 2 de janeiro, máquinas associadas a 2.170 endereços IP foram infectadas com malware. O ataque é notável por explorar uma vulnerabilidade antiga.
Fonte da imagem: Gerd Altmann / pixabay.com
O Trojan Zloader existe há muito tempo. Por exemplo, em 2020 foi distribuído por meio de recursos adultos e até anúncios do Google. O novo ataque em massa, dizem os especialistas, é único porque se baseia em um sistema de verificação de software baseado em assinaturas digitais: uma carga de malware é incorporada em uma biblioteca de sistema assinada que não é verificada por ferramentas de proteção do sistema operacional.
A infecção é realizada através do Atera Remote Access and Management System (RMM) — uma versão demo modificada desta ferramenta corporativa padrão é instalada pela própria vítima como um arquivo java.msi, no qual um endereço de e-mail controlado pelos invasores é especificado como administrador. Em seguida, o operador baixa dois arquivos bat para o computador da vítima usando a função de inicialização do script. O primeiro script modifica as configurações do Windows Defender adicionando as exceções necessárias e o segundo garante a entrega de dados de recursos de terceiros.
Em seguida, o arquivo de sistema mshta.exe (geralmente usado para executar arquivos HTML) é iniciado com a biblioteca appContast.dll como parâmetro. Esta biblioteca é assinada, mas contém código malicioso que baixa e inicia o trojan Zloader. A Microsoft corrigiu o erro com a verificação de certificados em 2013, mas mais tarde em 2014 a empresa afirmou que a atualização correspondente poderia afetar o software existente e ficou disponível para instalação apenas a pedido do usuário. De acordo com especialistas da Check Point Research, o grupo de hackers Malsmoke está por trás de uma nova série de ataques: seus membros tendem a passar malware como plugins Java, e a URL associada ao ataque já foi usada pelo grupo em 2020.
A OpenAI anunciou que aprimorou a função de memorização de seu chatbot de IA, o…
A HP e a Ferrari colaboraram para lançar um laptop estilizado de edição limitada. Seu…
A Waymo, empresa da Alphabet, está lançando um programa para reutilizar as baterias de seus…
Em maio, a AMD anunciou que, além da série Radeon RX 9000, as séries Radeon…
A editora Fireshine Games e os desenvolvedores do estúdio Undercoders, de Barcelona, anunciaram o adiamento…
A Huawei apresentou um novo smartphone de baixo custo. O Huawei nova Y74 é o…