ZLoader resurge en una campaña que se ha cobrado más de 2.000 víctimas

  • Actualidad

seguridad troyano

El troyano explota la verificación de la firma digital de Microsoft para robar información sensible de los usuarios. Check Point Research insta a los usuarios a aplicar la actualización de Microsoft para la verificación estricta de Authenticode, ya que no se aplica por defecto.

Recomendados: 

Empresas data driven: estrategias de datos para marcar la diferencia Evento 

Caminando hacia Zero Trust, el modelo de seguridad que se impone en la empresa Evento

Check Point Research ha observado una nueva campaña del malware ZLoader que aprovecha la verificación de la firma digital de Microsoft para robar información sensible de las víctimas. Este troyano bancario, que fue conocido en 2021 como una amenaza en la distribución del ransomware Conti, utiliza la inyección web para robar cookies, contraseñas y cualquier otro dato sensible. Los investigadores atribuyen la campaña al grupo de ciberdelincuentes MalSmoke.

"La gente debe saber que no puede confiar en la firma digital de un archivo. Lo que encontramos fue una nueva campaña de ZLoader que explota la verificación de la firma digital de Microsoft para robar información sensible de los usuarios. Comenzamos a ver pruebas de esta nueva campaña alrededor de noviembre de 2021. Los atacantes, que atribuimos a MalSmoke, buscan el robo de credenciales de usuario e información privada de las víctimas”, destaca Kobi Eisenkraft, Malware Researcher de Check Point Software.

El ataque comienza con la instalación de un programa legítimo de gestión remota que se hace pasar por una instalación de Java. Tras esta instalación, el ciberdelincuente tiene acceso completo al sistema y es capaz de cargar/descargar archivos y también ejecutar scripts, por lo que carga y ejecuta unos scripts que descargan más scripts que ejecutan mshta.exe con el archivo appContast.dll como parámetro. El archivo appContast.dll está firmado por Microsoft, aunque se ha añadido más información al final del archivo, la cual descarga y ejecuta la carga útil final de Zloader, robando credenciales de usuario y documentación privada de las víctimas.

“Hasta ahora, hemos contabilizado más de 2.000 víctimas en 111 países. Con todo, parece que los autores de la campaña de Zloader consiguen evadir los sistemas de control y siguen actualizando sus métodos semanalmente. Recomendamos encarecidamente a los usuarios a que apliquen la actualización de Microsoft para la verificación estricta de Authenticode, que no se aplica por defecto”, concluye Eisenkraft.

Suscríbete a nuestro Newsletter

* Todos los campos son requeridos