SECURITY10. Januar 2022

Banking-Trojaner ZLoader und MalSmoke: Hacker ändern Microsofts Dateisignaturen

Check Point Research hat steigende Aktivitäten des Banking-Trojaners ZLoader entdeckt. Das Besondere dabei: Die Schad-Software nutze Microsofts Dateisignaturen aus, um den Anschein von Legitimität zu erwecken. Allerdings wurde das digitale Wasserzeichen verändert.

Betroffene pro LandCheck Point
Im vergangenen Jahr sei ZLoader besonders in den Sommermonaten aufgefallen, denn damals kaufte die hinter der Malware steckende Gruppe MalSmoke einige Google-Keyword-Anzeigen, um verschiedene Malware-Stämme zu verbreiten, darunter die berüchtigte Ryuk Ransomware. Im Zuge der aktuellen Kampagne konnte Check Point bisher über 2.100 Opfer in 111 Ländern identifizieren. Deutschland liegt auf dem sechsten Platz.

Die „Infektionskette“

1. Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms, das vorgibt, eine Java-Installation zu sein.
2. Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. Der Angreifer lädt einige Skripte hoch und führt sie aus. Diese laden weitere Skripte herunter, die eine mshta.exe mit der Datei appContast.dll als Parameter ausführen.
3. Die Datei appContast.dll wirkt tatsächlich von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugefügt wurden.
4. Die hinzugefügten Informationen laden die endgültige ZLoader-Nutzlast herunter und führen sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.

Basierend auf der Analyse der Methodik der aktuellen Kampagne im Vergleich zu bisherigen Malware-Attacken sei davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von MalSmoke handelt.

Check Point

Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ZLoader-Kampagne gefunden, die Microsofts Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen. Die Angreifer, die wir MalSmoke zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen abgesehen.“

Kobi Eisenkraft, Malware-Forscher bei Check Point

Eisenkraft empfiehlt Anwendern, das Microsoft-Update für die strengere Authenticode-Verifizierung zu installieren, da dieses standardmäßig nicht angewendet werde. Im Rahmen seiner Verantwortung habe Check Point (Website) bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.ft

 
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/132802
 
 

 

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.