Cyberprzestępcy polują na podpis elektroniczny

05-01-2022, 12:47

Ponad 2 tys. ofiar w 111 krajach w ciągu zaledwie dwóch miesięcy – to efekt aktywności złośliwego oprogramowania ZLoader, wykorzystującego weryfikację podpisu cyfrowego Microsoft do kradzieży danych uwierzytelniających oraz informacji poufnych. Wśród pokrzywdzonych znajdują się również polscy użytkownicy.

Czas zwiększonych wydatków zbliża się nieubłaganie.

>> Sprawdź konto z kartą otwartą na dzisiaj <<

0 zł za prowadzenie rachunku, użytkowanie karty debetowej i wypłaty gotówki!


Analitycy bezpieczeństwa cybernetycznego z Check Point Research wykryli nową kampanię cyberprzestępczą, wykorzystującą weryfikację podpisu elektronicznego firmy Microsoft. Jak do tej pory jej ofiarami padło ponad 2170 osób ze 111 państw. Najwięcej poszkodowanych pochodzi ze Stanów Zjednoczonych (40 proc.) oraz Kanady (14 proc.). Okazuje się, że wśród ofiar znajdują się również polscy użytkownicy (poniżej 1 proc.).

Eksperci Check Point Research przypisują kampanię grupie cyberprzestępczej MalSmoke, która do przeprowadzenia operacji wykorzystała znanego trojana ZLoader. Narzędzie to do tej pory było wykorzystywane w atakach na bankowość elektroniczną, natomiast od września 2021 znajduje się na radarze CISA (amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) jako dystrybutor ransomware Conti oraz różnych szczepów ransomware Ryuk.

- Należy wiedzieć, że nie można od razu zaufać podpisowi cyfrowemu pliku. To, co znaleźliśmy, to nowa kampania ZLoader wykorzystująca weryfikację podpisu cyfrowego Microsoftu do kradzieży poufnych informacji użytkowników. Pierwsze dowody na istnienie nowej kampanii zaczęliśmy obserwować około listopada 2021 roku. Napastnicy, których powiązaliśmy z grupą MalSmoke, mają na celu kradzież danych uwierzytelniających oraz prywatnych informacji ofiar. Do tej pory naliczyliśmy ponad 2000 ofiar w 111 krajach. Wygląda na to, że autorzy kampanii Zloader włożyli wiele wysiłku w unikanie systemów ochronnych i co tydzień aktualizują swoje metody - wskazuje Kobi Eisenkraft, badacz malware'u w Check Point Research.

Atak rozpoczyna się od instalacji legalnego programu do zdalnego zarządzania, udającego instalację Javy. Po jej dokonaniu atakujący ma pełny dostęp do systemu i jest w stanie wysyłać/pobierać pliki, a także uruchamiać skrypty. Atakujący wysyła i uruchamia kilka skryptów, które pobierają kolejne skrypty uruchamiające mshta.exe z plikiem appContast.dll jako parametrem. Plik appContast.dll jest podpisany przez Microsoft, mimo że na końcu pliku dodano więcej informacji. Dodane informacje powodują pobranie i uruchomienie końcowego payloadera Zloader, który wykrada poświadczenia użytkownika i prywatne informacje ofiar.

Check Point Research poinformowało firmy Microsoft i Atera o swoich ustaleniach. Firma wydała również rekomendację zastosowania aktualizacji Microsoftu do ścisłej weryfikacji Authenticode. Niestety nie jest ona stosowana domyślnie. Jednocześnie eksperci ostrzegają, by nie instalować programów z nieznanych źródeł lub witryn oraz nie klikać linków oraz nieznanych załączników otrzymanych pocztą.



Sprawdź, który bank może zaproponować Ci najtańsze kredyty gotówkowe, najlepsze kredyty hipoteczne, kredyty dla firm, bezpłatne konta osobiste, konta firmowe czy najlepiej oprocentowane lokaty >>
Przepisy na coś słodkiego z kremem Nutella
To warto przeczytać








  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
Jak czytać DI?
RSS
Copyright © 1998-2022 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.