Check Point alerta para novo software malicioso que rouba credenciais

2008
A Check Point Research (CPR) alertou ontem(05) para uma nova campanha de ‘software‘ malicioso (‘malware‘) ZLoader, cuja a sua operacionalidade é roubar as credenciais dos utilizadores e informações sensíveis, e onde até ao momento já soma com “mais de 2.000 vítimas em 111 países”.
Através de um comunicado, a área de ‘Threat Intelligence’ da Check Point Software Tecnologies, especializado na área da cibersegurança, fez um “alerta para uma nova campanha de ‘malware’ que esta a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis“.

Segundo a empresa, “ZLoader de seu nome, e onde o ‘malware’ já soma mais de 2.000 vítimas em 111 países”, sendo que a CPR atribui a campanha maliciosa, iniciada no mês de Novembro, ao grupo Malsmoke, “que tem feito um grande esforço para aprimorar as suas técnicas evasivas“.

Pelo que foi revelado, o  ZLoader é conhecido por ser uma ferramenta de disseminação de ‘ransomware’ [‘malware’ que sequestra arquivos, encriptam-nos e pedem resgate], incluindo Ryuk e Conti.

O ZLoader é um ‘trojan’ bancário que recorre a ‘web injection’, uma técnica que, através da injeção de código malicioso, permite roubar ‘cookies’, ‘passwords’ e quaisquer outras informações sensíveis“, explica a CPR.

MAIS: Relatório da Check Point Software destaca o impacto do cyber-crime ao redor do mundo

Conhecido por distribuir ‘malware’, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do ‘ransomware’ Conti“, acrescentou o comunicado.

A Check Point Software ainda informa que o ataque tem início com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java e, a partir daí, o atacante tem acesso total ao sistema.

Assim, o atacante carrega e executa ‘scripts’ que descarregam mais ‘scripts’ que, por sua vez, executam o ‘software’ mshta.exe com o ficheiro appContast.dll como parâmetro“, diz a CPR.

O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro” e esta informação “descarrega e executa o ‘payload’ Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas“, finaliza.

Até ao momento, a CPR “tem registo de 2.170 vítimas únicas”, sendo que a maioria reside no Estados Unidos, seguido do Canadá e Índia.

“”As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores“, afirma Kobi Eisenkraft, ‘malware researcher’ da Check Point, citado no comunicado.

3 COMENTÁRIOS

  1. Tenho um artigo sobre Seguraça da Informação em Angola para ser publicado.
    Paulo M. Cambambi
    Estudante de Seguraça da Informação

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui