Kampanye Malware Perbankan Zloader Baru Mengeksploitasi Verifikasi Tanda Tangan Microsoft

  • Whatsapp
Windows Malware
Kampanye Malware Perbankan Zloader Baru Mengeksploitasi Verifikasi Tanda Tangan Microsoft

News.nextcloud.asia –

Malware Windows

Kampanye malware ZLoader yang sedang berlangsung telah ditemukan dengan mengeksploitasi alat pemantauan jarak jauh dan kelemahan sembilan tahun terkait verifikasi tanda tangan digital Microsoft untuk menyedot kredensial pengguna dan informasi sensitif.

Perusahaan keamanan siber Israel, Check Point Research, yang telah melacak rantai infeksi canggih sejak November 2021, mengaitkannya dengan kelompok penjahat siber yang dijuluki Malsmoke, mengutip kesamaan dengan serangan sebelumnya.

“Teknik yang tergabung dalam rantai infeksi termasuk penggunaan perangkat lunak manajemen jarak jauh (RMM) yang sah untuk mendapatkan akses awal ke mesin target,” kata Golan Cohen dari Check Point dalam sebuah laporan dibagikan dengan The Hacker News. Malware kemudian mengeksploitasi metode verifikasi tanda tangan digital Microsoft untuk menyuntikkan muatannya ke dalam sistem DLL yang ditandatangani untuk lebih menghindari pertahanan sistem.

Pencadangan GitHub Otomatis

Kampanye tersebut dikatakan telah mengklaim 2.170 korban di 111 negara pada 2 Januari 2022, dengan sebagian besar pihak yang terkena dampak berlokasi di AS, Kanada, India, Indonesia, dan Australia. Ini juga penting karena fakta bahwa ia membungkus dirinya dalam lapisan kebingungan dan metode penghindaran deteksi lainnya untuk menghindari penemuan dan analisis.

Alur serangan dimulai dengan pemasangan perangkat lunak pemantauan jarak jauh perusahaan yang sah yang disebut Atera, menggunakannya untuk mengunggah dan mengunduh file arbitrer serta menjalankan skrip berbahaya. Namun, cara yang tepat untuk mendistribusikan file penginstal masih belum diketahui.

Perangkat lunak perusak

Salah satu file digunakan untuk menambahkan pengecualian ke Windows Defender, sementara file kedua melanjutkan untuk mengambil dan mengeksekusi payload tahap berikutnya, termasuk file DLL yang disebut “appContast.dll” yang, pada gilirannya, digunakan untuk menjalankan biner ZLoader ( “9092.dll”).

Apa yang menonjol di sini adalah bahwa appContast.dll tidak hanya ditandatangani oleh Microsoft dengan tanda tangan yang valid, tetapi juga bahwa file tersebut, yang awalnya merupakan modul penyelesai aplikasi (“AppResolver.dll”), telah diubah dan disuntikkan dengan skrip berbahaya untuk dimuat malware tahap akhir.

Ini dimungkinkan dengan mengeksploitasi masalah yang diketahui yang dilacak sebagai CVE-2013-3900 — kerentanan validasi tanda tangan WinVerifyTrust — yang memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer melalui executable portabel yang dibuat khusus dengan menambahkan cuplikan kode berbahaya sambil tetap mempertahankan validitas tanda tangan file.

Mencegah Pelanggaran Data

Meskipun Microsoft mengatasi bug pada tahun 2013, perusahaan diperbaiki rencananya pada Juli 2014 untuk tidak lagi “menerapkan perilaku verifikasi yang lebih ketat sebagai fungsi default pada rilis Microsoft Windows yang didukung” dan membuatnya tersedia sebagai fitur keikutsertaan. “Dengan kata lain, perbaikan ini dinonaktifkan secara default, yang memungkinkan pembuat malware untuk memodifikasi file yang ditandatangani,” kata Cohen.

“Sepertinya penulis kampanye ZLoader berusaha keras untuk menghindari pertahanan dan masih memperbarui metode mereka setiap minggu,” peneliti malware Check Point, Kobi Eisenkraft, mengatakan, mendesak pengguna untuk menahan diri dari menginstal perangkat lunak dari sumber yang tidak dikenal dan menerapkan ketat Microsoft Verifikasi tanda tangan Windows Authenticode untuk file yang dapat dieksekusi.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *