0 |
В эту среду Check Point Research (CPR) сообщила, что на данный момент в 111 странах обнаружено более 2100 жертв новой хакерской кампании, которая, как предполагается, стартовала в ноябре 2021 года. Большинство пострадавших сосредоточены в США, Канаде и Индии.
У CPR пока нет полной ясности относительно того, как распространяется вредоносный пакет, в который входит вполне легальное ПО Atera для удаленного управления компьютером. После установки Atera также обнаруживается поддельный Java-установщик, который инсталлирует агент, связывающий ПК с учётной записью злоумышленников.
Вслед за этим на компьютер жертвы загружаются два файла .bat: первый отвечает за обезвреживание защиты Windows Defender, а второй используется для загрузки известного банковского трояна ZLoader. Кроме того, в папку автозагрузки добавляется скрипт для обеспечения сохранности вредоносного кода в системе, который также перезагружает ПК, чтобы применить внесённые изменения.
ZLoader может красть учётные данные пользователей, файлы cookie и конфиденциальную информацию, включая данные для входа в финансовые эккаунты, а также действовать как бэкдор и загрузчик для другого вредоносного кода.
Особый интерес представляет подписанный файл DLL, который используется для заражения машины программой ZLoader. CPR утверждает, что сам файл модифицирован так, чтобы с помощью прилагающегося кода использовать известную ошибку верификации подписей изменённых файлов PE (Portable Executable).
Хотя исправление этой уязвимости (CVE-2013-3900) было выпущено Microsoft ещё в 2013 году, вызываемые им ложные срабатывания на законных установщиках привели к тому, что в июле 2014 года данное обновление было сделано опциональным, то есть было отключено по умолчанию.
Организаторами новой кампании CPR считает хакеров MalSmoke. В пользу этого говорит сходства кодов, использование плагинов Java в качестве поддельных установщиков и сходство с записями регистрации доменов, использовавшихся этой группой для распространения вредоносного ПО Raccoon Stealer.
По словам исследователей CPR, эксплуатируемая хакерами слабость аутентификации по прежнему остаётся проблемной областью для Microsoft, и хотя они рекомендуют пользователям применить обновление Microsoft для более строгой верификации Authenticode, но предупреждают, что это может иногда блокировать законные установщики из-за «неверной» подписи.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
0 |