Campanha Mais Recente do Zloader Abusa da Verificação de Assinatura da Microsoft
Índice:
Zloader (também conhecido como Terdot e DELoader) está em fúria mundial, evadindo as defesas dos sistemas bancários. Não é algo que se espera encontrar debaixo das árvores de Natal, especialmente acompanhado pelo calamitoso Vulnerabilidade do Log4j, mas esses são tempos loucos em que vivemos. De acordo com os pesquisadores, as rotinas de ataque do Zloader estão crescendo em escala e sofisticação, adotando técnicas e métodos de evasão diversificados. Nos últimos anos, os adversários adotaram diferentes abordagens e explorações para implantar o malware Zloader.
Ciberataques do Zloader
Zloader, um malware bancário projetado para roubar credenciais de login e informações privadas dos usuários, está de volta com uma nova cadeia de infecção. Este malware já existe há algum tempo, originando-se da família de malware ZeuS conhecida desde 2006. O próprio Zloader surgiu pela primeira vez em 2015, permitindo que adversários roubassem credenciais de conta junto com outros tipos de dados sensíveis. Sendo o Trojan bancário mais notoriamente conhecido, o malware está ganhando seu momento: desde o vazamento do código ZeuS em 2011, inúmeras variantes do Zloader já foram implementadas por adversários. Dada a efetividade da ferramenta, é seguro supor que há muitas mais em desenvolvimento contínuo.
É amplamente discutido que esta cadeia de eliminação cibernética explorando a assinatura eletrônica da Microsoft foi lançada em novembro de 2021 pela gangue cibernética MalSmoke. A nova campanha de malware bancário Zloader abusa da verificação de assinatura digital da Microsoft para injetar código em um DLL do sistema assinado e já afetou mais de 2200 usuários em mais de 111 países.
Nova Cadeia de Ataque do Zloader
A análise aprofundada do Check Point revela que a mais recente campanha do Zloader abusa da ferramenta legítima de monitoramento e gerenciamento remoto (RMM) da Atera para ganhar acesso na instância alvo. Particularmente, os adversários aproveitam a capacidade do Atera de instalar um agente no endpoint e designá-lo a uma conta específica vinculada ao endereço de e-mail do atacante. Isso permite que os atores de ameaça tenham acesso total ao sistema de interesse, incluindo a capacidade de executar código malicioso e carregar ou baixar arquivos.
Enquanto exploravam a próxima fase do ataque, os especialistas em segurança detectaram dois arquivos .bat sendo executados por adversários no decorrer da campanha para alterar as configurações do Windows Defender e carregar outras partes do código malicioso. O último, appContast.dll, é executado com “regsvr32.exe” e injetado no processo “msiexec.exe” para carregar a carga final do Zloader do servidor C&C sob o controle dos hackers.
Os operadores da campanha têm se empenhado em aumentar as capacidades evasivas enquanto garantem acesso amplo do malware aos sistemas-alvo. Especialistas em segurança observam que vários scripts são usados ao longo do ataque para evitar a detecção, elevar privilégios e desabilitar proteções de segurança enquanto injetam a principal carga nos processos em execução.
Notavelmente, o appContast.dll, uma biblioteca legítima da Atera com o script anexado para instalar o Zloader, obtém uma assinatura válida de código, então o sistema operacional Windows basicamente confia nele. Especialistas do Check Point acreditam que os hackers do MalSmoke aproveitaram o antigo problema no processo de validação de assinatura da Microsoft (CVE-2020-1599, CVE-2013-3900, CVE-2012-0151) revelado em 2012. Apesar dos bugs terem sido corrigidos pelo fornecedor com políticas de verificação de arquivos mais rígidas, de alguma forma as atualizações permanecem desativadas nas configurações padrão.
Detectando a Última Campanha do Zloader
Para fortalecer suas defesas contra o Zloader e detectar possíveis ataques contra sua infraestrutura, você pode baixar uma regra Sigma gratuita disponível na plataforma Detection as Code do SOC Prime.
Nova Campanha de Malware Bancário Zloader Explorando Verificação de Assinatura da Microsoft (via registry_event)
Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix, and Open Distro.
A regra está alinhada com a última versão do framework MITRE ATT&CK® v.10, abordando a tática de Evasão de Defesa com ‘Modificar Registro’ como a técnica principal (T1112).
A lista completa de detecções disponíveis no repositório do Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.
Junte-se à SOC Prime, a primeira plataforma do mundo para defesa cibernética colaborativa, caça e descoberta de ameaças que integra com mais de 20 plataformas SIEM e XDR. Investigue instantaneamente as últimas ameaças, automatize a investigação de ameaças e obtenha feedback e avaliação de mais de 20.000 profissionais de segurança da comunidade para impulsionar suas operações de segurança. Você é um autor de conteúdo? Explore o poder da maior comunidade de defesa cibernética do mundo participando do programa Threat Bounty da SOC Prime, onde pesquisadores podem monetizar seu próprio conteúdo de detecção.
