Banking-Trojaner ZLoader und MalSmoke: Hacker ändern Microsofts Dateisignaturen
Check Point
Die „Infektionskette“
1. Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms, das vorgibt, eine Java-Installation zu sein.
2. Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. Der Angreifer lädt einige Skripte hoch und führt sie aus. Diese laden weitere Skripte herunter, die eine mshta.exe mit der Datei appContast.dll als Parameter ausführen.
3. Die Datei appContast.dll wirkt tatsächlich von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugefügt wurden.
4. Die hinzugefügten Informationen laden die endgültige ZLoader-Nutzlast herunter und führen sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.
Basierend auf der Analyse der Methodik der aktuellen Kampagne im Vergleich zu bisherigen Malware-Attacken sei davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von MalSmoke handelt.
Check Point
Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ZLoader-Kampagne gefunden, die Microsofts Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen. Die Angreifer, die wir MalSmoke zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen abgesehen.“
Kobi Eisenkraft, Malware-Forscher bei Check Point
Eisenkraft empfiehlt Anwendern, das Microsoft-Update für die strengere Authenticode-Verifizierung zu installieren, da dieses standardmäßig nicht angewendet werde. Im Rahmen seiner Verantwortung habe Check Point (Website) bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.ftSie finden diesen Artikel im Internet auf der Website:
https://itfm.link/132802
Schreiben Sie einen Kommentar