L’ultima Campagna Zloader Abusa della Verifica della Firma Microsoft
Indice:
Zloader (alias Terdot e DELoader) sta imperversando in tutto il mondo, eludendo le difese dei sistemi bancari. Non è qualcosa che ci si aspetta di trovare sotto l’albero di Natale, soprattutto se accompagnato dalla calamità Vulnerabilità Log4j, ma questi sono tempi pazzi in cui viviamo. Secondo i ricercatori, le routine di attacco di Zloader stanno crescendo in scala e sofisticazione, adottando tecniche diversificate e metodi di evasione. Negli ultimi anni, gli avversari hanno adottato approcci ed exploit diversi per rilasciare il malware Zloader.
Attacchi informatici Zloader
Zloader, un malware bancario progettato per rubare credenziali di accesso e informazioni private degli utenti, è tornato con una nuova catena di infezione. Questo malware esiste da un po’, originando dalla famiglia di malware ZeuS nota dal 2006. Zloader stesso è apparso per la prima volta nel 2015, consentendo agli avversari di rubare le credenziali dei conti insieme ad altri tipi di dati sensibili. Essendo il trojan bancario più noto, il malware sta guadagnando slancio: dal momento in cui il codice ZeuS è trapelato nel 2011, numerose varianti di Zloader sono già state implementate dagli avversari. Dato l’efficacia dello strumento, è lecito supporre che ce ne siano molte altre in fase di sviluppo.
È ampiamente discusso che questa particolare catena di attacco informatico che sfrutta la firma elettronica di Microsoft sia stata lanciata nel novembre 2021 dalla banda di cybercriminali MalSmoke. La nuova campagna malware bancaria Zloader abusa della verifica della firma digitale di Microsoft per iniettare codice in una DLL di sistema firmata e ha già colpito oltre 2200 utenti in più di 111 paesi.
Nuova catena di attacco Zloader
L’approfondita analisi di Check Point rivela che la più recente campagna Zloader abusa dello strumento legittimo di monitoraggio e gestione remota (RMM) Atera per ottenere un punto d’appoggio sull’istanza target. In particolare, gli avversari sfruttano la capacità di Atera di installare un agente sull’endpoint e assegnarlo a un account specifico collegato all’indirizzo email dell’attaccante. Questo consente agli attori del minaccia di ottenere pieno accesso al sistema di interesse, inclusa la capacità di eseguire codice malevolo e caricare o scaricare file.
Durante l’esplorazione della fase successiva dell’attacco, gli esperti di sicurezza hanno individuato due file .bat eseguiti dagli avversari nel corso della campagna per modificare le configurazioni di Windows Defender e caricare altri pezzi di codice malevolo. Il secondo, appContast.dll, è eseguito con “regsvr32.exe” e iniettato nel processo “msiexec.exe” per caricare il payload finale Zloader dal server C&C sotto il controllo degli hacker.
Gli operatori della campagna hanno fatto grandi sforzi per potenziare le capacità evasive garantendo al malware un accesso ampio ai sistemi mirati. Gli esperti di sicurezza notano che diversi script vengono utilizzati durante l’attacco per evitare il rilevamento, elevare i privilegi e disabilitare le protezioni di sicurezza mentre viene iniettato il payload principale nei processi in esecuzione.
In particolare, l’appContast.dll, una libreria Atera legittima con lo script aggiunto per installare Zloader, ottiene una firma di codice valida, quindi il sistema operativo Windows si fida sostanzialmente di esso. Gli esperti di Check Point credono che gli hacker di MalSmoke abbiano sfruttato il vecchio problema nel processo di validazione della firma di Microsoft (CVE-2020-1599, CVE-2013-3900, CVE-2012-0151) rivelato nel 2012. Nonostante i bug siano stati corretti dal fornitore con politiche di verifica dei file più rigorose, in qualche modo gli aggiornamenti rimangono disabilitati nelle configurazioni predefinite.
Rilevare l’ultima campagna Zloader
Per rafforzare le tue difese contro Zloader e rilevare possibili attacchi contro la tua infrastruttura, puoi scaricare una regola Sigma gratuita disponibile nella piattaforma Detection as Code di SOC Prime.
Nuova campagna malware bancaria Zloader che sfrutta la verifica della firma di Microsoft (via registry_event)
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix e Open Distro.
La regola è allineata con l’ultima versione del framework MITRE ATT&CK® v.10, affrontando la tattica di Evasione delle difese con Modifica Registro come tecnica principale (T1112).
L’elenco completo dei rilevamenti disponibili nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.Â
Unisciti a SOC Prime, la prima piattaforma al mondo per la difesa informatica collaborativa, la caccia alle minacce e la scoperta che si integra con oltre 20 piattaforme SIEM e XDR. Caccia istantaneamente le ultime minacce, automatizza l’indagine sulle minacce e ottieni feedback e valutazioni da parte di oltre 20.000 membri della comunità di professionisti della sicurezza per potenziare le tue operazioni di sicurezza. Sei un autore di contenuti? Sfrutta la potenza della più grande comunità di difesa informatica al mondo unendoti al programma SOC Prime Threat Bounty, dove i ricercatori possono monetizzare i propri contenuti di rilevamento.
