PRAHA – 6. ledna 2022 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před novou malwarovou kampaní zneužívající technologii Microsoft pro ověřování elektronických podpisů. Cílem jsou krádeže přihlašovacích údajů a citlivých informací. Bankovní trojan Zloader má už více než 2 000 obětí ze 111 zemí. Za nejnovějšími útoky stojí pravděpodobně kyberzločinecká skupina MalSmoke, která pravidelně mění a vylepšuje svoje maskovací metody. Microsoft už dříve uvedl, že hackeři stojící za Zloaderem nakupovali na Googlu reklamu, aby šířili různé varianty škodlivých kódů, včetně ransomwaru Ryuk.
Útoky probíhají v několika fázích. Cílem některých kroků je vyhnout se odhalení bezpečnostními technologiemi, některé načítají další části útoku z řídícího serveru a další fáze se zaměřují na to, aby hrozba mohla v počítači škodit dlouhodobě a nevzbudila pozornost. Útočníci chtějí útoky automatizovat a mít možnost je průběžně měnit a vylepšovat, takže malware stahuje a spouští z C&C serveru další soubory.
- Útok začíná instalací běžně používaného programu Atera pro vzdálenou správu. Hackeři vytvořili verzi, která na zařízení oběti nepozorovaně instaluje škodlivého agenta.
- Po instalaci má útočník plný přístup k systému a může nahrávat/stahovat soubory a také spouštět další skripty, až dojde ke spuštění mshta.exe se souborem appContast.dll jako parametrem.
- Soubor appContast.dll je podepsán společností Microsoft, přestože na konec souboru byly přidány další informace. Při bližší analýze DLL knihovny zjistíme, že soubor sice obsahuje platný digitální podpis společnosti Microsoft, ale jeho původní název je AppResolver.dll a je k němu navíc připojený skript.
- Přidané informace stáhnou a spustí finální část Zloaderu a ukradnou obětem přihlašovací údaje a soukromé informace.
Zjednodušené schéma infekčního řetězce
Doposud bylo identifikováno 2170 obětí. Nejvíce jich pochází ze Spojených států, následuje Kanada a Indie. Oběti jsou ale hlášené také z České republiky.
Počet obětí v jednotlivých zemích
Check Point o problému informoval společnosti Microsoft a Atera.
„Je potřeba si uvědomit, že digitálním podpisům u souborů nelze slepě důvěřovat. Nová kampaň Zloader zneužívá ověřovací technologii Microsoft ke krádeži citlivých informací. Útočníci, pravděpodobně skupina MalSmoke, se zaměřují na krádeže přihlašovacích údajů a soukromých informací. Zatím víme o více než 2 000 obětech ze 111 zemí. Útočníci věnují značné úsilí, aby se vyhnuli obranným mechanismům a své metody každý týden aktualizují. Uživatelé by proto měli použít aktualizaci technologie Microsoft Authenticode,“ říká Pavel Krejčí, Security Engineer v kyberbezpečnostní společnosti Check Point Software Technologies.
Bezpečnostní tipy
- Použijte aktualizaci technologie Microsoft Authenticode. Do Poznámkového bloku vložte tyto řádky
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
a před spuštěním soubor uložte s příponou .reg. Po aktualizaci ovšem některé legitimní podpisy nemusí fungovat.
- Neinstalujte programy z neznámých zdrojů nebo webů.
- Neklikejte na odkazy a neotvírejte neznámé přílohy e-mailů.
Více informací najdete v analýze výzkumného týmy Check Point Research:
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.