Check Point ha detectado una campaña de distribución asociada al malware ZLoader, el cual utiliza herramientas de monitoreo remoto y una falla antigua (9 años) relacionada con la verificación de la firma digital de Microsoft, para capturar las credenciales de los usuarios y la información confidencial.

Mediante una investigación que se ha venido realizando desde noviembre del 2021, Check Point atribuyo al grupo de ciberdelincuentes Malsmoke, esto teniendo en cuenta las similitudes en los patrones de ataque utilizados por dicho grupo. Por medio de Atera (software de administración remota) se genera la descarga de archivos maliciosos y a su vez la ejecución de scripts con contenido malicioso, hasta el momento no se ha identificado el proceso mediante el cual se distribuye el archivo de instalación.

Proceso de infección (Fuente Check Point)
Windows

Una vez iniciado el proceso de instalación del software, se mostrara un instalador de java falso, a través de este se instalara un agente que permite que el atacante tenga acceso a la máquina, por medio de dicho acceso se realiza la descarga de 2 archivos .bat, los cuales manipulan el Windows defender para impedir que este genere alertas y paralelamente deshabilitan los programas que detectan la manipulación del administrador de tareas y el cmd.exe, posteriormente, se descarga el malware Zloader conocido por capturar credenciales de usuario, datos de inicio de sesión de páginas bancarias, cookies y cargar diferentes códigos maliciosos. Finalmente, se adiciona una secuencia de comandos en la carpeta de inicio, con la finalidad de generar persistencia y obligar al equipo a que se reinicie para que se apliquen los cambios en el sistema, una vez reiniciado el equipo, el malware procede a propagarse al aprovechar la falencia que presenta el método de verificación de la firma digital de Microsoft (CVE-2013-3900) publicado en el año 2013, curiosamente y debido a la cantidad de falsos positivos que generó el parche, debido a que categorizaba software legitimo como malicioso, en el año 2014 se retiró este tipo de verificación estricta y se dejó como un tipo de actualización opcional, dando a entender que la solución se encuentra deshabilitada en todos los equipos de manera predeterminada.

Según la investigación realizada actualmente se han infectado 2.170 equipos en 111 países, esto hasta el 2 de enero del presente año, entre los países afectados se encuentran Australia, Canadá, EE.UU, India e Indonesia, Microsoft recomienda aplicar los pasos publicados en el 2013 (https://docs.microsoft.com/en-us/security-updates/SecurityAdvisories/2014/2915720?redirectedfrom=MSDN), indicando también que se corre el riesgo de bloquear la instalación de software legítimo, pero invitando también a los usuarios a que eviten la descarga de aplicaciones de fuentes desconocidas.

Recomendaciones

Casos de uso *:

  • Gestión y/o Acceso a Plataformas.
  • Seguimiento de actividades de un posible Ataque de día Cero.
  • Reconocimiento y / o Vulnerabilidades.

*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.