La Última Campaña de Zloader Abusa de la Verificación de Firma de Microsoft
Tabla de contenidos:
Zloader (también conocido como Terdot y DELoader) está causando estragos en todo el mundo, eludiendo las defensas de los sistemas bancarios. No es algo que uno espere encontrar debajo de su árbol de Navidad, especialmente acompañado por el calamitante Vulnerabilidad de Log4j, pero vivimos tiempos locos. Según los investigadores, las rutinas de ataque de Zloader están creciendo en escala y sofisticación, adoptando técnicas y métodos de evasión diversificados. En los últimos años, los adversarios han adoptado diferentes enfoques y exploits para desplegar el malware Zloader.
Ciberataques de Zloader
Zloader, un malware bancario diseñado para robar credenciales de inicio de sesión e información privada de los usuarios, ha regresado con una nueva cadena de infección. Este malware ha existido durante un tiempo, originándose de la familia de malware ZeuS conocida desde 2006. Zloader mismo apareció por primera vez en 2015, permitiendo a los adversarios robar credenciales de cuentas junto con otros tipos de datos sensibles. Siendo el troyano bancario más notoriamente conocido, el malware está ganando impulso: desde una filtración del código ZeuS en 2011, numerosos variantes de Zloader ya han sido implementadas por los adversarios. Dada la efectividad de la herramienta, es seguro asumir que hay muchas más en desarrollo continuo.
Se discute ampliamente que esta particular cadena de ciberataques explotando la firma electrónica de Microsoft fue lanzada en noviembre de 2021 por la banda cibernética MalSmoke. La nueva campaña de malware bancario Zloader abusa de la verificación de firma digital de Microsoft para inyectar código en un sistema DLL firmado y ya ha afectado a más de 2200 usuarios en más de 111 países.
Nueva Cadena de Ataque de Zloader
El análisis en profundidad de Check Point revela que la última campaña de Zloader abusa de la herramienta legítima de monitoreo remoto y administración (RMM) de Atera para ganar un punto de apoyo en la instancia objetivo. En particular, los adversarios aprovechan la capacidad de Atera para instalar un agente en el endpoint y asignarlo a una cuenta específica vinculada a la dirección de correo electrónico del atacante. Esto permite a los actores de amenazas obtener acceso completo al sistema de interés, incluida la capacidad de ejecutar código malicioso y subir o descargar archivos.
Mientras exploraban la siguiente etapa del ataque, los expertos en seguridad han detectado que dos archivos .bat están siendo ejecutados por los adversarios durante la campaña para cambiar configuraciones de Windows Defender y cargar otras partes del código malicioso. El último, appContast.dll, se ejecuta con «regsvr32.exe» y se inyecta en el proceso «msiexec.exe» para cargar la carga útil final de Zloader desde el servidor C&C bajo el control de los hackers.
Los operadores de la campaña han puesto mucho esfuerzo en aumentar las capacidades de evasión mientras otorgan al malware acceso amplio a los sistemas objetivo. Los expertos en seguridad señalan que se utilizan varios scripts a lo largo del ataque para evitar la detección, elevar privilegios y deshabilitar las protecciones de seguridad mientras se inyecta la carga principal en los procesos en ejecución.
Notablemente, el appContast.dll, una biblioteca legítima de Atera con el script adjunto para instalar Zloader, obtiene una firma de código válida, por lo que el sistema operativo Windows confía en él esencialmente. Los expertos de Check Point creen que los hackers de MalSmoke aprovecharon el problema anterior en el proceso de validación de firmas de Microsoft (CVE-2020-1599, CVE-2013-3900, CVE-2012-0151) revelado en 2012. A pesar de que los errores fueron corregidos por el proveedor con políticas más estrictas de verificación de archivos, de alguna manera las actualizaciones permanecen desactivadas en las configuraciones predeterminadas.
Detección de la Última Campaña de Zloader
Para fortalecer sus defensas contra Zloader y detectar posibles ataques contra su infraestructura, puede descargar una regla Sigma gratuita disponible en la plataforma Detection as Code de SOC Prime.
Nueva Campaña de Malware Bancario Zloader que Explota la Verificación de Firmas de Microsoft (mediante registry_event)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix y Open Distro.
La regla está alineada con el último marco de trabajo MITRE ATT&CK® v.10, abordando la táctica de Evasión de Defensa con Modificar Registro como técnica principal (T1112).
La lista completa de detecciones disponibles en el repositorio del Market de Detección de Amenazas de la plataforma SOC Prime está disponible aquí.
Únase a SOC Prime, la primera plataforma del mundo para la defensa cibernética colaborativa, caza y descubrimiento de amenazas que se integra con más de 20 plataformas SIEM y XDR. Busque al instante las últimas amenazas, automatice la investigación de amenazas y obtenga retroalimentación y evaluación por parte de una comunidad de más de 20,000 profesionales de la seguridad para mejorar sus operaciones de seguridad. ¿Es usted un autor de contenido? Aproveche el poder de la comunidad de defensa cibernética más grande del mundo uniéndose al programa SOC Prime Threat Bounty, donde los investigadores pueden monetizar su propio contenido de detección.
