Una nueva campaña de ataque aprovecha la verificación de firmas de Microsoft

El grupo de ataque Malsmoke está detrás de una campaña que ha explotado la herramienta de verificación de firmas electrónicas de Microsoft para atacar a 2.100 víctimas.

Los investigadores de seguridad están observando una nueva campaña en la que los atacantes abusan de la verificación de la firma electrónica de Microsoft para desplegar Zloader, un malware bancario diseñado para robar credenciales e información privada de los usuarios.

Esta campaña se detectó a principios de noviembre de 2021, según el equipo de investigación de Check Point, que ha revelado hoy sus resultados. Hasta el 2 de enero, dijeron, 2.170 IPs de víctimas únicas en todo el mundo habían descargado el archivo DLL malicioso.
La mayoría de las víctimas se encuentran en:

  • Estados Unidos (864),
  • Canadá (305)
  • e India (140).

Aproximadamente un tercio de ellas son empresas, una pequeña cantidad está relacionada con la educación y la administración pública, y el resto son particulares.

Zloader no es una nueva forma de malware; estas campañas se han visto anteriormente en la naturaleza en varias formas. Las campañas anteriores de Zloader, vistas en 2020, utilizaban archivos maliciosos, sitios web para adultos y anuncios de Google para atacar los sistemas objetivo, dijeron los investigadores.

En este caso, los operadores del ataque parecen centrarse especialmente en las técnicas de evasión. Utilizan un software de gestión remota (RMM) legítimo para obtener un acceso inicial a las máquinas objetivo y añadir código a la firma de un archivo mientras se mantiene la validez de la firma, para luego ejecutarlo utilizando mshta.exe.

“Lo nuevo y más interesante, desde mi punto de vista, es que es la primera vez que observamos que [una] campaña de Zloader explota el método de verificación de firmas digitales de Microsoft para inyectar su carga útil en una DLL del sistema firmada para evadir aún más las defensas del sistema”, explica Kobi Eisenkraft, investigador de malware de Check Point. “Estas pruebas demuestran que los autores de la campaña de Zloader ponen un gran esfuerzo en la evasión de las defensas”.

Zloader later campaign infection chain
Cadena de infección de la campaña posterior de Zloader
Fuente: Check Point

La infección comienza con la instalación del software Atera en una máquina objetivo. Atera es un software RMM empresarial legítimo que puede instalar un agente y asignar el punto final a una cuenta particular con un archivo .msi que incluye la dirección de correo electrónico del propietario. Los atacantes hicieron esto con una dirección de correo electrónico temporal, y el archivo descargable está disfrazado como una instalación de Java – un método visto en anteriores campañas de Zloader.

Eisenkraft dice que el equipo no está seguro de cómo los atacantes despliegan Atera en los dispositivos de las víctimas en esta campaña; sin embargo, en campañas anteriores de Zloader, los operadores atraían a las víctimas reproduciendo parte de una película para adultos. Después de unos segundos, el vídeo se detenía y un mensaje decía que su Java necesitaba ser actualizado. Se les pedía que descargaran una instalación de “Java”, que era una versión de prueba de Atera que permitía a los atacantes enviar archivos a la máquina y ejecutarlos, explica.

Una vez que el software está en la máquina, el atacante carga y ejecuta dos archivos .bat en el dispositivo utilizando la función “Run Script”. Uno se utiliza para modificar las preferencias de Windows Defender y el otro para cargar el resto del malware. En esta etapa, los scripts añaden exclusiones a Windows Defender y desactivan herramientas que podrían utilizarse para la detección e investigación.

El script ejecuta entonces mshta.exe con appContast.dll como parámetro. Los investigadores se dieron cuenta de que este archivo estaba firmado por Microsoft con una firma válida y, al comparar los dos archivos, vieron que los atacantes habían añadido un script al archivo para la DLL maliciosa.

Esto es el resultado de una brecha de seguridad mencionada en CVE-2020-1599, CVE-2013-3900 y CVE-2012-0151, señalaron.

Microsoft abordó el problema de la verificación de la firma en un boletín de seguridad de 2013 e impulsó una solución. Sin embargo, dijo después de implementar que “determinaron que el impacto en el software existente podría ser alto”. En julio de 2014, cambiaron la verificación de archivos más estricta por una actualización opcional, escribió el equipo. A menos que alguien instalara manualmente el parche, no estaba protegido. Muchos proveedores de seguridad dejarán que se ejecute el archivo firmado malicioso porque tiene una firma digital válida de Microsoft, explica Eisenkraft.

Malsmoke

Eisenkraft dice que no parece que los atacantes estuvieran detrás de ningún tipo específico de datos; principalmente las contraseñas y la información sensible fueron comprometidas.

Check Point atribuye la campaña de noviembre a Malsmoke. Esta es la primera vez que los investigadores han visto al grupo abusar de las firmas digitales de Microsoft, dice Eisenkraft, pero notaron similitudes con anteriores campañas de Malsmoke. Sus ataques anteriores eran conocidos por disfrazar el malware como plug-ins de Java, lo que dicen que ocurre en este caso.

También hay una conexión entre la información del registrador del dominio teamworks4550.com, donde están alojados los archivos de la campaña actual, y otro dominio vinculado a una campaña independiente de Malsmoke 2020.

Fuente: darkreading

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies