Analistas de ciberseguridad de Check Point Research han descubierto una nueva campaña para ciberdelincuentes que utiliza la verificación Firma electrónica de Microsoft. Hasta la fecha, sus víctimas han sido más de 2.170 personas de 111 países. La mayoría de los infectados provienen de Estados Unidos (40%) y Canadá (14%). Resulta que ellos también estaban entre las víctimas. Usuarios polacos (menos que 1%).
Los expertos de Check Point Research atribuyen la campaña al grupo de ciberdelincuentes MalSmoke, que utilizó un conocido troyano para llevar a cabo la operación Cargador Z. Esta herramienta se ha utilizado hasta ahora en ataques a la banca electrónica, mientras que desde septiembre de 2021 ha estado en el radar de CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) como distribuidor de Conti Ransomware y varias cepas de Ryuk ransomware.
Tenga en cuenta que no puede confiar en la firma digital del archivo inmediatamente. Lo que encontramos fue una nueva campaña de ZLoader que utiliza la verificación de firma digital de Microsoft para robar información confidencial de los usuarios. Comenzamos a notar la primera evidencia de una nueva campaña alrededor de noviembre de 2021. Se dirige a los atacantes que hemos vinculado al grupo MalSmoke. Robo de credenciales e información privada de las víctimas. Hasta el momento, hemos contabilizado más de 2.000 víctimas en 111 países. Los autores de la campaña Zloader parecen haber hecho todo lo posible para evitar los sistemas de seguridad y actualizar sus métodos cada semana, señala Kobi Eisenkraft, investigador de malware en Check Point Research.
El ataque comienza con la instalación de un programa legítimo de administración remota que finge ser una instalación de Java. Después de que se hace, el atacante hace Acceso total al sistema Puede cargar/descargar archivos, así como ejecutar scripts. El atacante envía y ejecuta varios scripts que descargan scripts sucesivos que ejecutan mshta.exe con appContast.dll como parámetro. El archivo appContast.dll está firmado por Microsoft, aunque se ha agregado más información al final del archivo. La información agregada hace que el Zloader final se descargue y se inicie, lo que Roba las credenciales del usuario y la información de la víctima.
Check Point Research informó de sus hallazgos a Microsoft y Atera. La compañía también ha emitido una recomendación para usar una actualización de Microsoft para verificar minuciosamente el código de autenticación. Desafortunadamente, no está implementado por defecto. Al mismo tiempo, los expertos advierten contra la instalación de programas de fuentes o sitios desconocidos y no hacer clic en enlaces y archivos adjuntos desconocidos que recibe por correo.
«Fanático de la música. Solucionador profesional de problemas. Lector. Galardonado ninja de la televisión».
More Stories
Debido a las malas ventas de Star Wars: Outlaws, Ubisoft está sufriendo una gran pérdida. Assassin’s Creed: Shadows viene al rescate
¿Cómo será la próxima generación de procesadores móviles?
El material absorbe el 99%. Drizas. Incluyendo redes 5G y 6G