Os investigadores da Check Point Research alertam para uma nova campanha de malware que está a utilizar a verificação da assinatura digital para roubar a credenciais e informações sensíveis dos utilizadores e que já soma 2.170 vítimas únicas em 211 países, sobretudo nos no Estados Unidos, Canadá e Índia.

A Check Point Research atribui a campanha com o malware Zloader, que data de novembro de 2021, ao grupo Malsmoke, que tem vindo a tornar as suas técnicas evasivas mais sofisticadas. O ZLoader é também conhecido por ser uma ferramenta de disseminação de ransomware, incluindo Ryuk e Conti.

Check Point Research | Número de vítimas da campanha com malware ZLoader
Check Point Research | Número de vítimas da campanha com malware ZLoader créditos: Check Point Research

De acordo com os especialistas, o ZLoader afirma-se como um trojan bancário que recorre a uma técnica de injeção de código malicioso que permite roubar cookies, passwords e outras informações sensíveis.

O software malicioso foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) nos Estados Unidos, no contexto de uma investigação relativa à disseminação do ransomware Conti. Ainda nesse mês, a Microsoft alertou para uma alteração do método de ataque do ZLoader. Os atacantes estavam a comprar palavras-chave do Google Ads para distribuir vcadeias de malware, incluindo o ransomware Ryuk.

Como é que se processa a cadeia de infecção? Os investigadores explicam que o ataque começa com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java. Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e descarregar ficheiros, bem como executar scripts.

O atacante carrega e executa scripts que descarregam mais scripts que, por sua vez, executam o software mshta.exe com o ficheiro appContast.dll como parâmetro.

Check Point Research | Cadeira de infecção do malware ZLoader
Check Point Research | Cadeira de infecção do malware ZLoader créditos: Check Point Research

Este ficheiro é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do mesmo. A informação adicionada descarrega e executa a carga maliciosa final do Zloader, roubando as credenciais de utilizador e outras informações pessoais das vítimas.

Tanto a Microsoft, como a Atera foram informadas pelos investigadores acerca das suas conclusões. “As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro”, explica Kobi Eisenkraft, Malware Researcher da Check Point. Ao que tudo indica, “os responsáveis pela campanha do ZLoader investem muito na evasão defensiva e estão semanalmente a atualizar os seus métodos. Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não implementado automaticamente.”