В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.
Источник изображения: Gerd Altmann / pixabay.com
Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.
Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты. Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов.
Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.
Источник: 3DNews
