La dernière campagne Zloader abuse de la vérification de signature Microsoft
Table des matières :
Zloader (alias Terdot et DELoader) fait rage dans le monde entier, échappant aux défenses des systèmes bancaires. Pas quelque chose que l’on s’attend à trouver sous ses sapins de Noël, surtout accompagné du calamiteux Vulnérabilité Log4j, mais ce sont des temps fous dans lesquels nous vivons. Selon les chercheurs, les routines d’attaque de Zloader augmentent en échelle et en sophistication, adoptant des techniques diversifiées et des méthodes d’évasion. Au cours des dernières années, les adversaires ont adopté différentes approches et exploits pour déposer le malware Zloader.
Cyber-attaques de Zloader
Zloader, un malware bancaire conçu pour voler des identifiants de connexion et des informations privées des utilisateurs, est de retour avec une nouvelle chaîne d’infection. Ce malware existe depuis un certain temps, provenant de la famille de malwares ZeuS connue depuis 2006. Zloader lui-même est apparu pour la première fois en 2015, permettant aux adversaires de voler des identifiants de compte ainsi que d’autres types de données sensibles. Étant le cheval de Troie bancaire le plus notoirement connu, le malware gagne en momentum : depuis une fuite du code ZeuS en 2011, de nombreuses variantes de Zloader ont déjà été mises en œuvre par les adversaires. Étant donné l’efficacité de l’outil, il est sûr de supposer qu’il y a beaucoup plus de développements en cours.
Il est largement discuté que cette chaîne de destruction cybernétique particulière exploitant la signature électronique de Microsoft a été lancée en novembre 2021 par le gang de cybercriminels MalSmoke. La toute nouvelle campagne de malware bancaire Zloader abuse de la vérification de signature numérique de Microsoft pour injecter du code dans une DLL système signée et a déjà affecté plus de 2200 utilisateurs dans plus de 111 pays.
Nouvelle chaîne de destruction d’attaque de Zloader
L’ analyse approfondie par Check Point révèle que la dernière campagne Zloader abuse de l’outil légitime de surveillance et de gestion à distance (RMM) Atera pour prendre pied sur l’instance cible. En particulier, les adversaires tirent parti de la capacité d’Atera à installer un agent sur le point de terminaison et à l’assigner à un compte spécifique lié à l’adresse e-mail de l’attaquant. Cela permet aux acteurs de la menace d’obtenir un accès complet au système d’intérêt, y compris la capacité d’exécuter du code malveillant et de télécharger ou télécharger des fichiers.
Lors de l’exploration de la prochaine étape de l’attaque, les experts en sécurité ont repéré deux fichiers .bat exécutés par les adversaires au cours de la campagne pour modifier les configurations de Windows Defender et télécharger d’autres morceaux du code malveillant. Le dernier, appContast.dll, est exécuté avec « regsvr32.exe » et injecté dans le processus « msiexec.exe » pour charger la charge utile finale de Zloader depuis le serveur C&C sous le contrôle des hackers.
Les opérateurs de la campagne ont mis beaucoup d’efforts pour renforcer les capacités d’évasion tout en accordant au malware un large accès aux systèmes ciblés. Les experts en sécurité notent que plusieurs scripts sont utilisés tout au long de l’attaque pour éviter la détection, élever les privilèges et désactiver les protections de sécurité tout en injectant la charge utile principale dans les processus en cours d’exécution.
Notamment, le appContast.dll, une bibliothèque Atera légitime avec le script ajouté pour installer Zloader, obtient une signature de code valide, de sorte que le système d’exploitation Windows lui fait essentiellement confiance. Les experts de Check Point pensent que les hackers MalSmoke ont exploité le problème plus ancien dans le processus de validation de signature de Microsoft (CVE-2020-1599, CVE-2013-3900, CVE-2012-0151) révélé en 2012. Malgré les bugs corrigés par le fournisseur avec des politiques de vérification de fichiers plus strictes, les mises à jour restent étrangement désactivées dans les configurations par défaut.
Détection de la dernière campagne Zloader
Pour renforcer vos défenses contre Zloader et détecter d’éventuelles attaques contre votre infrastructure, vous pouvez télécharger une règle Sigma gratuite disponible sur la plateforme Detection as Code de SOC Prime.
Nouvelle campagne de malware bancaire Zloader exploitant la vérification de signature de Microsoft (via registry_event)
Cette détection dispose de traductions pour les plateformes SIEM, EDR et XDR suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix, et Open Distro.
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la tactique d’évasion de défense avec la modification du registre comme technique principale (T1112).
La liste complète des détections disponibles dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
Rejoignez SOC Prime, la première plateforme mondiale pour la défense collaborative contre les cybermenaces, la recherche de menaces et la découverte qui s’intègre à plus de 20 plateformes SIEM et XDR. Chassez instantanément les dernières menaces, automatisez l’investigation des menaces et obtenez des retours et des validations de la part d’une communauté de plus de 20 000 professionnels de la sécurité pour booster vos opérations de sécurité. Êtes-vous un auteur de contenu ? Profitez de la puissance de la plus grande communauté de défense cybernétique au monde en rejoignant le programme SOC Prime Threat Bounty, où les chercheurs peuvent monétiser leur propre contenu de détection.
