El sistema de control de firma de código fuente de Microsoft evita fácilmente el malware Zloader

Según la firma de investigación Check Point, un grupo de piratas informáticos llamado MalSmoke lanzó una campaña para infectar el malware Zloader en noviembre de 2021. Hasta el momento, esta campaña sigue en curso y creciendo en escala.

Cabe señalar que el malware puede eludir el sistema de verificación de firmas de código fuente de Microsoft. Luego implementó paquetes de malware y hasta la fecha ha robado la información personal de miles de víctimas de 111 países.

Zloader (también conocido como Terdot o DELoader) es un malware bancario descubierto por primera vez en 2015. Puede robar información de la cuenta y mucha otra información privada de los sistemas infectados.

Recientemente, Zloader también se ha utilizado para distribuir otros tipos de código malicioso, incluidos programas de ransomware como Ryuk y Egregor.

Figura 1 El sistema de control de firma de código fuente de Microsoft evita fácilmente el malware Zloader

Índice

    Abuso de Atera. Un programa para la gestión remota

    En la última campaña, Zloader se infectó al distribuir el archivo Java.msi como un instalador de Atera modificado.

    Atera es un software de administración y monitoreo remoto empresarial ampliamente utilizado en TI. Como resultado, las herramientas antivirus no alertan a las víctimas, incluso si se ha cambiado el instalador.

    No está claro cómo el pirata informático logró engañar a la víctima para que cargara un archivo malicioso. Sin embargo, es más probable que se distribuyan a través de piratería o software de fraude por correo electrónico.

    Una vez lanzado, el código malicioso proporcionará acceso remoto al sistema del hacker. Desde allí, el hacker puede ejecutar scripts y cargar o descargar archivos.

    El sistema de verificación de firma digital de Microsoft ha sido omitido

    En particular, se ha pasado por alto el sistema de verificación de firma de código de Microsoft. Los expertos de Check Point han confirmado que el archivo appContast.dll con la tarea de instalar y modificar el registro de Zloader contiene una firma válida del código fuente. De esta forma, el sistema operativo confía y te permite funcionar correctamente.

    Al comparar el archivo DLL recuperado con el Atera DLL original, los expertos encontraron cambios menores en la suma de verificación y el tamaño de la firma. Sin embargo, estos cambios son demasiado pequeños para invalidar la firma, pero son suficientes para agregar datos a la parte de la firma del archivo.

    Microsoft conoce esta vulnerabilidad desde 2012 y le asignó los códigos de seguimiento CVE-2020-1599, CVE-2013-3900 y CVE-2021-0151. La compañía también está tratando de lanzar una política de verificación de archivos cada vez más estricta. Sin embargo, por alguna razón, todavía están deshabilitados de forma predeterminada.

    Puede habilitar las políticas estrictas de Microsoft siguiendo estos pasos:

    1. Abrir Bloc de notas
    2. Copie las siguientes líneas de código en el Bloc de notas:
    Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/Software/Microsoft/Cryptography/Wintrust/Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE/Software/Wow6432Node/Microsoft/Cryptography/Wintrust/Config] "EnableCertPaddingCheck"="1"
    1. Guarde el archivo del cuaderno como .reg. Archivo
    2. Haga doble clic en el archivo guardado para ejecutarlo

    A partir del 2 de enero de 2022, la última empresa Zloader cubrió 2170 sistemas diferentes.

    Artículos de interés

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir