El malware no es nuevo, ya se conocía, así como su funcionamiento y la inserción de código en las firmas de archivos que son válidos para propagar su virus. Lo que no se puede detener es la variable Zloader.
Los ciberdelincuentes están utilizando nuevo malware, esta vez. que se benefician de firmas válidas de Microsoft Para evitar ser detectado por software de seguridad: más de dos mil víctimas en 11 países, Estados Unidos, Canadá e India son actualmente los más afectados.
La variante Zloader fue descubierta por investigadores de Técnicas de software de Check PointLtd., una reconocida empresa israelí que fabrica hardware y software de red y se especializa en productos relacionados con la seguridad, como firewalls y VPN.
Variante Zloader, el nuevo truco no se puede detener
En el último informe se informó que Troyano bancario Zloader Utiliza un nuevo script que le permite infectar computadoras en secreto e instalar el registro de forma remota para lanzar malware. Aunque el grupo ha estado activo desde al menos 2020, un nuevo truco utilizado por los operadores de Zloader ha llamado la atención de los investigadores de seguridad.
Leer también >>> Tim Cook, que batió récords: esto es lo que costó el primer número de Apple en 2021
Los miembros del equipo de Check Point descubrieron que Zloader exe está usando Archivo DLL con empresa verificada por Microsoft. La extensión que define, en sistemas operativos MS-DOS, OS / 2 y Windows, un archivo que contiene código ejecutable, es decir, un programa o controlador de dispositivo que se envía al usuario a través de la ingeniería social, pero también mediante el uso de herramientas legítimas de administración remota, como Atera solo por dar un ejemplo.
Leer también >>> Twitter, en iOS Hay una nueva forma de responder a los tweets, pero no hables de las noticias
Una vez cargadas, las bibliotecas ejecutan los scripts de ataque en línea que intentan llegar al servidor de comando y control, que luego empuja las descargas adicionales. Al hacer esto, al contener la firma correcta, es menos probable que los archivos infectados sean detectados por software de seguridad como Microsoft Defender.
El equipo israelí pudo descubrir que los ciberdelincuentes que usaban el malware habían tomado bibliotecas legítimas firmadas y manipulado piezas clave de código de tal manera que permitían inyectar los scripts de ataque, sin cambiar la firma. que siguen siendo tan auténticos.
Esta tecnología aprovecha las vulnerabilidades heredadas en la tecnología de verificación de firmas de Microsoft que, cuando no se repara, permite a los actores de amenazas eludir los procesos de verificación de firmas.
«Estos simples cambios mantienen la firma válida, pero nos permiten agregar datos a la sección de firmas del archivo.Los investigadores explican:Dado que no podemos ejecutar el código compilado desde la sección de firma del archivo – Nota – Ingresar texto escrito en VBscript o JavaScript y ejecutar el archivo con mshta.exe es una solución alternativa simple que puede eludir algunos EDR, es decir, detección y respuesta de puntos finales«.
Las vulnerabilidades de manipulación se conocen desde hace años y Microsoft solucionó el primer Zloader en 2013, pero esta variante arraigada en la actualización de seguridad se convirtió más tarde en una función de activación debido a posibles problemas de compatibilidad. Check Point estimó que 2170 direcciones IP únicas activaron la DLL infectada.
Investigador principal en Check Point, Kobe EisencraftSe ha redactado un informe.Los administradores que buscan proteger sus redes de posibles ataques no solo deben instalar Microsoft Update – Sus palabras en extractos de una entrevista con SearchSecurity – y cambios en las claves de registro de Microsoft, pero también deben asegurarse de que sus sistemas estén actualizados con todos los parches de seguridad.«.
«Alcohol ninja. Orgulloso especialista en tocino. Organizador. Creador aficionado. Solucionador de problemas amigable con los hipster. Gurú de la comida. Alborotador. Experto en Twitter».