Pelaku
Threat mengeksploitasi verifikasi tanda tangan digital Microsoft untuk mencuri kredensial pengguna dan informasi sensitif lainnya dengan mengirimkan malware ZLoader, yang sebelumnya telah digunakan untuk mendistribusikan Ryuk dan Conti ransomware, menurut temuan para peneliti.
Peneliti di Check Point Research (CPR) menemukan kelompok penjahat dunia maya Malsmoke menyampaikan kampanye, yang mereka lacak kembali ke November 2021, menurut sebuah laporan yang diposting online Wednesday.
“Apa yang kami temukan adalah kampanye ZLoader baru yang mengeksploitasi verifikasi tanda tangan digital Microsoft untuk mencuri informasi sensitif pengguna,” Kobi Eisenkraft, sebuah malware memperingatkan peneliti di CPR. “Orang perlu tahu bahwa mereka tidak dapat langsung mempercayai tanda tangan digital file.”
Penyerang telah mengklaim 2.170 korban unik di 111 negara, terutama di Amerika Serikat, Kanada, dan India.
Selain itu, penyerang memperbarui metode serangan “setiap minggu basis” dalam kampanye yang terus berkembang dan tetap sangat aktif, kata Eisenkraft.
ZLoader adalah trojan perbankan yang menggunakan injeksi web untuk mencuri cookie, kata sandi, dan informasi sensitif lainnya dari mesin korban. Ini menarik perhatian Cybersecurity Infrastructure and Security Agency (CISA) pada September 2021 sebagai ancaman dalam distribusi ransomware Conti, menurut CPR. Itu juga telah digunakan untuk mengirimkan ransomware Ryuk.
Attackers juga menggunakan ZLoader sebagai muatan dalam beberapa kampanye spearphishing, termasuk satu pada Maret 2020 yang bertujuan untuk memanfaatkan wabah pandemi COVID-19.
Pada September 2021, penyerang menyebarkan ZLoader melalui Google AdWords dalam kampanye yang menggunakan mekanisme untuk menonaktifkan semua modul Windows Defender pada mesin korban.
Java Impersonators
Untuk bagiannya, Malsmoke sebelumnya menggunakan ZLoader untuk menargetkan orang yang mengunjungi situs pornografi dewasa pada November 2020 dalam kampanye yang mengirimkan trojan melalui pembaruan Java palsu .
Kampanye terbaru oleh kelompok kriminal juga memanfaatkan Java dalam vektor serangannya, memulai aktivitas jahatnya dengan menginstal program manajemen jarak jauh yang sah yang meniru instalasi Java, menurut CPR.
Setelah ini terjadi, penyerang memiliki akses penuh ke sistem dan dapat mengunggah/mengunduh file dan juga menjalankan skrip, yang dilanjutkan ke lakukan, kata peneliti.
Akhirnya, penyerang menjalankan file bernama mshta.exe dengan file appContast.dll sebagai parameter – yang tampaknya merupakan file tepercaya Microsoft – untuk mengirimkan payload.
“File appContast.dll ditandatangani oleh Microsoft , meskipun lebih banyak informasi telah ditambahkan ke akhir file, ”menurut laporan itu. “Informasi tambahan mengunduh dan menjalankan muatan Zloader terakhir, mencuri kredensial pengguna dan informasi pribadi dari korban.”
Attackers “telah berupaya keras untuk menghindari pertahanan,” kata Eisenkraft, sehingga sulit untuk mendeteksi kampanye jahat. Menurut laporan tersebut, CPR telah memberi tahu Microsoft dan Atera, pembuat alat manajemen dan pemantauan jarak jauh, tentang temuannya.
CPR menyarankan agar pengguna Microsoft menerapkan pembaruan perusahaan untuk verifikasi Authenticode ketat segera untuk menghindari menjadi korban kampanye, terutama sejak “ itu tidak diterapkan secara default,” Eisenkraft memperingatkan.
Orang-orang juga harus mengikuti praktik keamanan umum untuk menghindari menginstal program dari sumber atau situs yang tidak dikenal, mengklik tautan yang tidak dikenal, atau membuka lampiran asing yang mereka terima di email, saran CPR.
Password Reset : Acara Sesuai Permintaan: Perkuat 2022 dengan strategi keamanan sandi yang dibuat untuk menghadapi ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web