ZLoader, el malware que ha atacado a 2.000 víctimas en 111 países aprovechando la verificación de la firma electrónica de Microsoft NdP Check Point Software



Categorías: Destacada, Internet, Tecnología

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado una nueva campaña de malware que aprovecha la verificación de la firma digital de Microsoft para robar información sensible de las víctimas. Llamado ZLoader, el malware es un troyano bancario que utiliza la inyección web para robar cookies, contraseñas y cualquier otro dato sensible.

Durante el mismo mes, Microsoft señaló cómo los operadores de ZLoader estaban comprando anuncios de palabras clave de Google para distribuir varias cepas de malware, incluido el ransomware Ryuk. Hoy, los investigadores publican un informe que detalla el resurgimiento de ZLoader en una campaña que se ha cobrado más de 2.000 víctimas en 111 países. CPR atribuye la campaña al grupo de ciberdelincuentes MalSmoke.

Consejos de seguridad

Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor líder de soluciones de ciberseguridad a nivel mundial, ha observado una nueva campaña de malware que aprovecha la verificación de la firma digital de Microsoft para robar información sensible de las víctimas. Llamado ZLoader, el malware es un troyano bancario que utiliza la inyección web para robar cookies, contraseñas y cualquier otro dato sensible. Anteriormente, ZLoader era conocido porque entregaba ransomware y llegó al radar de CISA en septiembre de 2021 como una amenaza en la distribución del ransomware Conti.

Durante el mismo mes, Microsoft señaló cómo los operadores de ZLoader estaban comprando anuncios de palabras clave de Google para distribuir varias cepas de malware, incluido el ransomware Ryuk. Hoy, los investigadores publican un informe que detalla el resurgimiento de ZLoader en una campaña que se ha cobrado más de 2.000 víctimas en 111 países. CPR atribuye la campaña al grupo de ciberdelincuentes MalSmoke.

La cadena de la infección

  1. El ataque comienza con la instalación de un programa legítimo de gestión remota que se hace pasar por una instalación de Java.
  2. Tras esta instalación, el ciberdelincuente tiene acceso completo al sistema y es capaz de cargar/descargar archivos y también ejecutar scripts, por lo que carga y ejecuta unos scripts que descargan más scripts que ejecutan mshta.exe con el archivo appContast.dll como parámetro.
  3. El archivo appContast.dll está firmado por Microsoft, aunque se ha añadido más datos al final del archivo.
  4. La información añadida descarga y ejecuta la carga útil final de Zloader, robando credenciales de usuario y documentación privada de las víctimas.

Figura 1. Imagen simplificada de la cadena de infección

 

Figura 2. Número de víctimas por país

«La gente debe saber que no puede confiar en la firma digital de un archivo. Lo que encontramos fue una nueva campaña de ZLoader que explota la verificación de la firma digital de Microsoft para robar información sensible de los usuarios. Comenzamos a ver pruebas de esta nueva campaña alrededor de noviembre de 2021. Los atacantes, que atribuimos a MalSmoke, buscan el robo de credenciales de usuario e información privada de las víctimas. Hasta ahora, hemos contabilizado más de 2.000 víctimas en 111 países. Con todo, parece que los autores de la campaña de Zloader consiguen evadir los sistemas de control y siguen actualizando sus métodos semanalmente. Recomendamos encarecidamente a los usuarios a que apliquen la actualización de Microsoft para la verificación estricta de Authenticode, que no se aplica por defecto”, destaca Kobi Eisenkraft, Malware Researcher de Check Point Software.

Consejos de seguridad

  1. Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
  2. No instalar programas de fuentes o sitios desconocidos.
  3. No pulsar sobre enlaces ni abrir archivos adjuntos desconocidos que se reciban por correo.
. Leer artículo completo en Frikipandi ZLoader, el malware que ha atacado a 2.000 víctimas en 111 países aprovechando la verificación de la firma electrónica de Microsoft NdP Check Point Software.

Entradas recientes para ZLoader, el malware que ha atacado a 2.000 víctimas en 111 países aprovechando la verificación de la firma electrónica de Microsoft NdP Check Point Software

  1. PlayStation Portal recibe una nueva actualización de software
  2. Una leyenda de Mercedes en la F1 llega a Gran Turismo 7 en su nueva actualización
  3. Microsoft Flight Simulator 2024 ya está disponible
  4. Need for Speed Unbound Vol. 9: Prepare for Lockdown
  5. JUEGA GRATIS A EA SPORTS F1 24 TODO EL FIN DE SEMANA
Salir de la versión móvil