Les chercheurs en sécurité surveillent une nouvelle campagne dans laquelle les attaquants abusent de la validation de signature électronique de Microsoft pour déployer Zloader, un programme bancaire malveillant conçu pour voler les informations d’identification des utilisateurs et des informations privées

Cette campagne a été repérée début novembre 2021, selon l’équipe de Check Point Research, qui a dévoilé ses conclusions aujourd’hui. La plupart des victimes se trouvent aux États-Unis (864), in Canada (305) et en Inde (140) environ un tiers de ces entreprises sont des entreprises, un petit montant est lié à l’éducation et au gouvernement, le reste sont des particuliers

Zloader n’est pas une nouvelle forme de malware; Les précédentes campagnes Zloader, vues en 2020, utilisaient des fichiers malveillants, des sites pour adultes et des publicités Google pour attaquer des systèmes ciblés, said the researchers.

Here, les opérateurs d’attaque semblent se concentrer spécifiquement sur des techniques d’évasion utilisant un logiciel de gestion à distance légitime (RMM) pour obtenir un accès initial aux machines cibles et ajouter du code à la signature du fichier tout en préservant la validité de la signature, puis l’exécuter avec un exécutable mshta

La chose nouvelle et la plus intéressante, in my opinion, c’est que c’est la première fois que nous observons [a] campagne Zloader exploitant la méthode de vérification de signature numérique de Microsoft pour obtenir sa charge utile dans une DLL système signée pour éviter d’autres systèmes défenses”, “Cette preuve montre que les auteurs de la campagne Zelder ont déployé beaucoup d’efforts dans l’évasion défensive”, explique Kobi Eisencraft, Check Point Malware Researcher.

L’infection commence par l’installation du logiciel Atera sur une machine cible Atera est un logiciel RMM légitime qui peut installer un proxy et définir le point de terminaison d’un compte spécifique avec une extension .msi qui inclut l’adresse e-mail du propriétaire Les attaquants l’ont fait avec un adresse e-mail temporaire, le fichier téléchargeable est déguisé en une installation Javaune méthode vue dans les campagnes précédentes de Zloader

Eisencraft dit que l’équipe ne sait pas comment les attaquants déploieraient Atera sur les appareils des victimes dans cette campagne; However, dans les campagnes précédentes de Zloader, les joueurs attiraient les victimes en jouant une partie d’un film pour adultes. Après quelques secondes, la vidéo s’arrêtait et un message apparaissait indiquant que leur Java devait être mis à jour. On leur demandait de télécharger une installation de “Java”, qui était une version bêta d’Atera qui permettait aux attaquants d’envoyer des fichiers à l’appareil et de les exécuter, he explains

Une fois le programme exécuté sur la machine, l’attaquant charge et exécute deux battes sur la machine à l’aide de la fonction Exécuter le script. L’une est utilisée pour modifier les préférences de Windows Defender et l’autre est utilisée pour charger le reste du malware. indiquer que les scripts ajoutent des exceptions à Windows Defender et désactivent les outils pouvant être utilisés pour la détection et l’enquête

Ensuite le script mshta[] exe est exécuté avec appContast[] dll comme paramètre Les chercheurs notent que ce fichier est signé par Microsoft avec une signature valide, et en comparant les deux fichiers, ils ont vu que les attaquants avaient ajouté un script au fichier de la DLL malveillante

Ces simples modifications apportées à un fichier signé préservent la validité de la signature, tout en nous permettant d’ajouter les données à la section signature du fichier”, a expliqué l’équipe de Check Point dans la rédaction technique des résultats de cette campagne. des informations supplémentaires permettent aux attaquants de télécharger et d’exécuter Zloader

Notez qu’il s’agit du résultat des vulnérabilités mentionnées dans CVE-2020-1599, CVE-2013-3900 et CVE-2012-0151

Microsoft a abordé le problème de vérification de signature dans le Bulletin de sécurité de 2013 et a demandé un correctif. However, après la mise en œuvre, il a déclaré qu’après la mise en œuvre, they “ont déterminé que l’impact sur les logiciels existants pourrait être important”, a écrit l’équipe en juillet 2014, basculer la vérification stricte des fichiers pour mettre à jour l’opt-in à moins que quelqu’un n’installe le correctif manuellement, ils ne seront pas protégésEisencraft explique que de nombreux fournisseurs de sécurité autorisent l’exécution du fichier signé malveillant car il possède une signature numérique Microsoft valide

MalsmokeEisenkraft dit qu’il ne semble pas que les attaquants recherchaient des types de données spécifiques; Mots de passe et informations sensibles pour la plupart piratés

Check Point attribue la campagne de novembre à Malsmoke Eisencraft dit que c’est la première fois que des chercheurs voient un groupe abuser des signatures numériques de Microsoft, mais ils notent des similitudes avec les campagnes précédentes de Malsmoke Ses attaques précédentes étaient connues pour déguiser les logiciels malveillants en plugins Java, what, according to them, se produit dans ce cas.

Il existe également un lien entre les informations du titulaire du domaine 455[]with, où sont hébergés les fichiers de la campagne actuelle, et un autre domaine associé à une campagne Malsmoke 2020 distincte

Copyright © 2022 Informa PLC Informa UK Limited est une société enregistrée en Angleterre et au Pays de Galles sous le numéro d’entreprise 1072954 et son siège social est 5 Howick Place, London, SW1P 1WG

La signature numérique de Microsoft Corporation exploite les vulnérabilités de la sécurité informatique

News – THAT – Une nouvelle campagne d’attaque exploite la vérification de la signature Microsoft

Source: https://www.darkreading.com/attacks-breaches/new-attack-campaign-exploits-microsoft-signature-verification

Building on its expertise in the areas of digital, technologies and processes , CSS Engineering you in your most ambitious transformation projects and helps you bring out new ideas, new offers, new modes of collaboration, new ways of producing and selling.

CSS Engineering is involved in projects each customer as if it were his own. We believe a consulting company should be more than an advisor. We put ourselves in the place of our customers, to align we incentives to their goals, and collaborate to unlock the full potential their business. This establishes deep relationships and enjoyable.

Our services:

  1. Create professional websites
  2. Hosting high performance and unlimited
  3. Sale and video surveillance cameras installation
  4. Sale and Installation of security system and alarm
  5. E-Marketing

All our achievements here https://www.css-engineering.com/en/works/