{"id":5471,"date":"2022-01-12T16:55:49","date_gmt":"2022-01-12T21:55:49","guid":{"rendered":"https:\/\/etek.com\/es\/?p=5471"},"modified":"2022-01-12T16:55:49","modified_gmt":"2022-01-12T21:55:49","slug":"malware-bancario-zloader-aprovecha-falla-en-la-verificacion-de-firmas-de-microsoft","status":"publish","type":"post","link":"https:\/\/etek.com\/es\/malware-bancario-zloader-aprovecha-falla-en-la-verificacion-de-firmas-de-microsoft\/","title":{"rendered":"Malware bancario Zloader aprovecha falla en la verificaci\u00f3n de firmas de Microsoft."},"content":{"rendered":"\t\t<div data-elementor-type=\"wp-post\" data-elementor-id=\"5471\" class=\"elementor elementor-5471\" data-elementor-post-type=\"post\">\n\t\t\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-d4e3484 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"d4e3484\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-7a10136\" data-id=\"7a10136\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-eecb308 elementor-widget elementor-widget-text-editor\" data-id=\"eecb308\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-text-editor.elementor-drop-cap-view-stacked .elementor-drop-cap{background-color:#69727d;color:#fff}.elementor-widget-text-editor.elementor-drop-cap-view-framed .elementor-drop-cap{color:#69727d;border:3px solid;background-color:transparent}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap{margin-top:8px}.elementor-widget-text-editor:not(.elementor-drop-cap-view-default) .elementor-drop-cap-letter{width:1em;height:1em}.elementor-widget-text-editor .elementor-drop-cap{float:left;text-align:center;line-height:1;font-size:50px}.elementor-widget-text-editor .elementor-drop-cap-letter{display:inline-block}<\/style>\t\t\t\t<p>Check Point ha detectado una campa\u00f1a de distribuci\u00f3n asociada al malware ZLoader, el cual utiliza herramientas de monitoreo remoto y una falla antigua (9 a\u00f1os) relacionada con la verificaci\u00f3n de la firma digital de Microsoft, para capturar las credenciales de los usuarios y la informaci\u00f3n confidencial.<\/p><p>Mediante una investigaci\u00f3n que se ha venido realizando desde noviembre del 2021, Check Point atribuyo al grupo de ciberdelincuentes Malsmoke, esto teniendo en cuenta las similitudes en los patrones de ataque utilizados por dicho grupo. Por medio de Atera (software de administraci\u00f3n remota) se genera la descarga de archivos maliciosos y a su vez la ejecuci\u00f3n de scripts con contenido malicioso, hasta el momento no se ha identificado el proceso mediante el cual se distribuye el archivo de instalaci\u00f3n.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-2b21557 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"2b21557\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-1aac6db\" data-id=\"1aac6db\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-faaa3b9 elementor-widget elementor-widget-image\" data-id=\"faaa3b9\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t<style>\/*! elementor - v3.20.0 - 13-03-2024 *\/\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Malware-bancario-Zloader-aprovecha-falla-en-la-verificacion-de-firmas-de-Microsoft.-1.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Proceso de infecci\u00f3n (Fuente Check Point)<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-b843061 elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"b843061\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-31d0ee4\" data-id=\"31d0ee4\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-c289989 elementor-widget elementor-widget-image\" data-id=\"c289989\" data-element_type=\"widget\" data-widget_type=\"image.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t\t\t\t<figure class=\"wp-caption\">\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/etek.com\/es\/wp-content\/uploads\/2022\/01\/Malware-bancario-Zloader-aprovecha-falla-en-la-verificacion-de-firmas-de-Microsoft.-2.png\" title=\"\" alt=\"\" loading=\"lazy\" \/>\t\t\t\t\t\t\t\t\t\t\t<figcaption class=\"widget-image-caption wp-caption-text\">Windows<\/figcaption>\n\t\t\t\t\t\t\t\t\t\t<\/figure>\n\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<section class=\"elementor-section elementor-top-section elementor-element elementor-element-1e5e4aa elementor-section-boxed elementor-section-height-default elementor-section-height-default\" data-id=\"1e5e4aa\" data-element_type=\"section\">\n\t\t\t\t\t\t<div class=\"elementor-container elementor-column-gap-default\">\n\t\t\t\t\t<div class=\"elementor-column elementor-col-100 elementor-top-column elementor-element elementor-element-f7620b6\" data-id=\"f7620b6\" data-element_type=\"column\">\n\t\t\t<div class=\"elementor-widget-wrap elementor-element-populated\">\n\t\t\t\t\t\t<div class=\"elementor-element elementor-element-11f6cff elementor-widget elementor-widget-text-editor\" data-id=\"11f6cff\" data-element_type=\"widget\" data-widget_type=\"text-editor.default\">\n\t\t\t\t<div class=\"elementor-widget-container\">\n\t\t\t\t\t\t\t<p>Una vez iniciado el proceso de instalaci\u00f3n del software, se mostrara un instalador de java falso, a trav\u00e9s de este se instalara un agente que permite que el atacante tenga acceso a la m\u00e1quina, por medio de dicho acceso se realiza la descarga de 2 archivos .bat, los cuales manipulan el Windows defender para impedir que este genere alertas y paralelamente deshabilitan los programas que detectan la manipulaci\u00f3n del administrador de tareas y el cmd.exe, posteriormente, se descarga el malware Zloader conocido por capturar credenciales de usuario, datos de inicio de sesi\u00f3n de p\u00e1ginas bancarias, cookies y cargar diferentes c\u00f3digos maliciosos. Finalmente, se adiciona una secuencia de comandos en la carpeta de inicio, con la finalidad de generar persistencia y obligar al equipo a que se reinicie para que se apliquen los cambios en el sistema, una vez reiniciado el equipo, el malware procede a propagarse al aprovechar la falencia que presenta el m\u00e9todo de verificaci\u00f3n de la firma digital de Microsoft (CVE-2013-3900) publicado en el a\u00f1o 2013, curiosamente y debido a la cantidad de falsos positivos que gener\u00f3 el parche, debido a que categorizaba software legitimo como malicioso, en el a\u00f1o 2014 se retir\u00f3 este tipo de verificaci\u00f3n estricta y se dej\u00f3 como un tipo de actualizaci\u00f3n opcional, dando a entender que la soluci\u00f3n se encuentra deshabilitada en todos los equipos de manera predeterminada.<\/p><p>Seg\u00fan la investigaci\u00f3n realizada actualmente se han infectado 2.170 equipos en 111 pa\u00edses, esto hasta el 2 de enero del presente a\u00f1o, entre los pa\u00edses afectados se encuentran Australia, Canad\u00e1, EE.UU, India e Indonesia, Microsoft recomienda aplicar los pasos publicados en el 2013 (<a href=\"https:\/\/docs.microsoft.com\/en-us\/security-updates\/SecurityAdvisories\/2014\/2915720?\">https:\/\/docs.microsoft.com\/en-us\/security-updates\/SecurityAdvisories\/2014\/2915720?redirectedfrom=MSDN<\/a>), indicando tambi\u00e9n que se corre el riesgo de bloquear la instalaci\u00f3n de software leg\u00edtimo, pero invitando tambi\u00e9n a los usuarios a que eviten la descarga de aplicaciones de fuentes desconocidas.<\/p><p><strong>Recomendaciones<\/strong><\/p><ul><li>Aplicar los cambios de la verificaci\u00f3n de firmas Authenticode de Windows <a href=\"https:\/\/docs.microsoft.com\/en-us\/security-updates\/SecurityAdvisories\/2014\/2915720?\">(https:\/\/docs.microsoft.com\/en-us\/securityupdates\/SecurityAdvisories\/2014\/2915720?redirectedfrom=MSDN).<\/a><\/li><li>Abstenerse de instalar software descargado de fuentes desconocidas.<\/li><\/ul><p><strong>Casos de uso *:<\/strong><\/p><ul><li>Gesti\u00f3n y\/o Acceso a Plataformas.<\/li><li>Seguimiento de actividades de un posible Ataque de d\u00eda Cero.<\/li><li>Reconocimiento y \/ o Vulnerabilidades.<\/li><\/ul><p><em>*Para contar con estas detecciones el cliente requiere tener servicios de SOC contratados.<\/em><\/p><ul><li><strong>Para mayor informaci\u00f3n puede consultar las siguientes fuentes asociadas a la noticia:<\/strong><\/li><li><a href=\"https:\/\/thehackernews.com\/2022\/01\/new-zloader-banking-malware-campaign.html\">https:\/\/thehackernews.com\/2022\/01\/new-zloader-banking-malware-campaign.html<\/a><\/li><li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-code-sign-check-bypassed-to-drop-zloader-malware\/\">https:\/\/www.bleepingcomputer.com\/news\/security\/microsoft-code-sign-check-bypassed-to-drop-zloader-malware\/<\/a><\/li><li><a href=\"https:\/\/www.zdnet.com\/article\/malsmoke-hackers-now-abuse-microsoft-e-signature-verification-tool-in-cyberattacks\/\">https:\/\/www.zdnet.com\/article\/malsmoke-hackers-now-abuse-microsoft-e-signature-verification-tool-in-cyberattacks\/<\/a><\/li><\/ul>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"<p>Check Point ha detectado una campa\u00f1a de distribuci\u00f3n asociada al malware ZLoader, el cual utiliza herramientas de monitoreo remoto y una falla antigua (9 a\u00f1os) relacionada con la verificaci\u00f3n de la firma digital de Microsoft, para capturar las credenciales de los usuarios y la informaci\u00f3n confidencial. Mediante una investigaci\u00f3n que se ha venido realizando desde [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":5473,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"_links":{"self":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5471"}],"collection":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/comments?post=5471"}],"version-history":[{"count":0,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/posts\/5471\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/media?parent=5471"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/categories?post=5471"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/etek.com\/es\/wp-json\/wp\/v2\/tags?post=5471"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}