eGospodarka.pl

eGospodarka.plWiadomościTechnologieInternet › Podpis elektroniczny Microsoft źródłem cyberataków

Podpis elektroniczny Microsoft źródłem cyberataków

2022-01-07 11:48

Podpis elektroniczny Microsoft źródłem cyberataków

ZLoader © fot. mat. prasowe

Eksperci Check Point Research ostrzegają przed intensyfikacją cyberataków ze strony złośliwego oprogramowania ZLoader. Na baczności powinni się mieć użytkownicy podpisu elektronicznego Microsoft. Zagrożone są ich dane uwierzytelniające oraz poufne informacje. W ciągu 2 miesięcy zaatakowanych zostało ponad 2 tys. ofiar w 111 krajach, w tym również w Polsce.

Przeczytaj także: Uwaga na wielkanocny phishing

Z tego tekstu dowiesz się m.in.:


  • Które kraje ucierpiały najbardziej na skutego działalności ZLoadera?
  • Jak przebiegały cyberataki złośliwego oprogramowania?
  • Jak duży miały zasięg?

Analitycy bezpieczeństwa cybernetycznego z Check Point Research wykryli nową kampanię cyberprzestępczą, wykorzystującą weryfikację podpisu elektronicznego firmy Microsoft. Jak do tej pory jej ofiarami padło ponad 2170 osób ze 111 państw. Najwięcej poszkodowanych pochodzi ze Stanów Zjednoczonych (40 proc.) oraz Kanady (14 proc.). Okazuje się, że wśród ofiar znajdują się również polscy użytkownicy (poniżej 1 proc.).

fot. mat. prasowe

ZLoader

Eksperci Check Point Research wykryli złośliwą aktywność grupy MalSmoke, wykradającą podatności w weryfikacji podpisu elektronicznego Microsoft. Ataki przeprowadzone zostały z pomocą malware’u ZLoader.


Eksperci Check Point Research przypisują kampanię grupie cyberprzestępczej MalSmoke, która do przeprowadzenia operacji wykorzystała znanego trojana ZLoader. Narzędzie to do tej pory było wykorzystywane w cyberatakach na bankowość elektroniczną, natomiast od września 2021 znajduje się na radarze CISA (amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) jako dystrybutor ransomware Conti oraz różnych szczepów ransomware Ryuk.
Należy wiedzieć, że nie można od razu zaufać podpisowi elektronicznemu pliku. To, co znaleźliśmy, to nowa kampania ZLoader wykorzystująca weryfikację podpisu cyfrowego Microsoftu do kradzieży poufnych informacji użytkowników. Pierwsze dowody na istnienie nowej kampanii zaczęliśmy obserwować około listopada 2021 roku. Napastnicy, których powiązaliśmy z grupą MalSmoke, mają na celu kradzież danych uwierzytelniających oraz prywatnych informacji ofiar. Do tej pory naliczyliśmy ponad 2000 ofiar w 111 krajach. Wygląda na to, że autorzy kampanii Zloader włożyli wiele wysiłku w unikanie systemów ochronnych i co tydzień aktualizują swoje metody - wskazuje Kobi Eisenkraft, badacz malware'u w Check Point Research.

Atak rozpoczyna się od instalacji legalnego programu do zdalnego zarządzania, udającego instalację Javy. Po jej dokonaniu atakujący ma pełny dostęp do systemu i jest w stanie wysyłać/pobierać pliki, a także uruchamiać skrypty. Atakujący wysyła i uruchamia kilka skryptów, które pobierają kolejne skrypty uruchamiające mshta.exe z plikiem appContast.dll jako parametrem. Plik appContast.dll jest podpisany przez Microsoft, mimo że na końcu pliku dodano więcej informacji. Dodane informacje powodują pobranie i uruchomienie końcowego payloadera Zloader, który wykrada poświadczenia użytkownika i prywatne informacje ofiar.

Check Point Research poinformowało firmy Microsoft i Atera o swoich ustaleniach. Firma wydała również rekomendację zastosowania aktualizacji Microsoftu do ścisłej weryfikacji Authenticode. Niestety nie jest ona stosowana domyślnie. Jednocześnie eksperci ostrzegają, by nie instalować programów z nieznanych źródeł lub witryn oraz nie klikać linków oraz nieznanych załączników otrzymanych pocztą.

oprac. : eGospodarka.pl eGospodarka.pl

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: