Gli esperti di Check Point Research hanno scoperto una nuova campagna che diffonde il malware ZLoader sfruttando una vulnerabilità di Windows risolta nel 2013 e corretta nel 2014 da Microsoft.
La campagna di malware è stata rilevata all’inizio di novembre 2021 ma è ancora attiva e gli attori malevoli hanno già rubato dati e credenziali di oltre 2000 vittime in 111 paesi al 2 gennaio 2022.
Zloader è un malware bancario che prende in prestito alcune funzioni dal noto Trojan bancario Zeus 2.0.8.9 ed è stato utilizzato per diffondere trojan bancario simile a Zeus (cioè Zeus OpenSSL).
La catena di infezione sfrutta il software di gestione remota (RMM) legittimo per ottenere l’accesso iniziale al sistema di destinazione e inizia con l’installazione sul computer della vittima di Atera, un software di gestione e monitoraggio remoto aziendale legittimo capace di installare un agente e assegnare l’endpoint a un account specifico utilizzando un file .msi univoco che include l’indirizzo e-mail del proprietario.
Gli attaccanti hanno creato questo programma di installazione utilizzando un indirizzo e-mail temporaneo: ‘Antik.Corp@mailto.plus’. Come altre precedenti campagne Zloader, il file si pone come un’installazione Java. quindi il malware sfrutta il metodo di verifica della firma digitale di Microsoft per iniettare il suo carico utile in una DLL di sistema firmata nel tentativo di eludere il rilevamento.
Gli attori delle minacce sfruttano la vulnerabilità CVE-2013-3900 che è stato individuata e risolta nel 2013, ma nel 2014 Microsoft ha rivisto la correzione.
“Esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel modo in cui la funzione WinVerifyTrust gestisce la verifica della firma di Windows Authenticode per i file PE (Portable Executable). Un utente malintenzionato anonimo potrebbe sfruttare la vulnerabilità modificando un file eseguibile firmato esistente per sfruttare parti non verificate del file in modo da aggiungere codice dannoso al file senza invalidare la firma”, si legge nell’avviso pubblicato da Microsoft. “Un utente malintenzionato che ha sfruttato con successo questa vulnerabilità potrebbe assumere il controllo completo di un sistema interessato”.
Gli esperti hanno trovato una directory aperta, ospitata su teamworks455[.]com, che conteneva alcuni dei file scaricati durante la campagna. I risultati hanno mostrato che gli operatori di malware stanno cambiando i file ogni pochi giorni e, dall’analisi delle “voci” dei file, è stato possibile recuperare l’elenco delle vittime infettate da Zloader e il loro paese di origine.
La maggior parte dei sistemi infetti si trova negli Stati Uniti, Canada, Australia, India e Indonesia.
https://securityaffairs.co/wordpress/126513/malware/zloader-new-campaign.html