La campaña Zloader abusa de los controles de seguridad de Microsoft

Se descubrió una campaña de Zloader que explota el proceso de verificación de firma digital de Microsoft para implementar cargas útiles de malware.

La campaña, dirigida por el grupo Malsmoke, roba las credenciales de los usuarios y ya se ha dirigido a miles de víctimas en 111 países.

Según los investigadores de Check Point, la campaña ha estado en curso desde al menos noviembre de 2021.

La infección comienza a través de un instalador de Atera modificado (Java[.]msi), un auténtico software de gestión y control remoto.
Se sospecha que los atacantes usaron correos electrónicos de phishing o recursos de software pirateados, aunque los investigadores no pudieron confirmar lo mismo.

Después de la ejecución, Atera crea un agente que asigna un punto final con una dirección de correo electrónico administrada por el actor de amenazas. Luego, los atacantes obtienen acceso remoto completo al sistema de destino.
Ahora, los atacantes pueden ejecutar scripts, cargar y descargar archivos, como cargas útiles de malware Zloader.

Hasta el momento, la campaña reciente de Zloader se centró en 2170 sistemas únicos, con 864 direcciones IP en los EE. UU. y 305 en Canadá.

Los investigadores de Check Point han verificado que appContast[.]dll ejecuta la carga útil de Zloader y que el script de edición del registro está enlazado con una firma de código válida para que el sistema operativo confíe en él.

Compararon la DLL modificada con la de Atera y detectaron una pequeña modificación en el tamaño de la firma y la suma de verificación.
Estos cambios no son lo suficientemente grandes como para anular la validez de la firma electrónica. Sin embargo, un usuario puede agregar datos en el área de firma de un archivo.

Esta información adicional se usa para descargar y ejecutar la carga útil final de Zloader y robar credenciales y otra información confidencial.

Los piratas informáticos explotan fallas conocidas (CVE-2013-3900, CVE-2012-0151 y CVE-2020-1599) en la campaña, y Microsoft ha tratado de corregir las brechas de seguridad mediante la publicación de políticas de verificación de archivos más rígidas. Sin embargo, estaban deshabilitados de forma predeterminada, lo que ayudó a los adversarios a abusar de ellos para su beneficio.