Segundo a empresa, “ZLoader de seu nome, e onde o ‘malware’ já soma mais de 2.000 vítimas em 111 países”, sendo que a CPR atribui a campanha maliciosa, iniciada no mês de Novembro, ao grupo Malsmoke, “que tem feito um grande esforço para aprimorar as suas técnicas evasivas“.
Pelo que foi revelado, o ZLoader é conhecido por ser uma ferramenta de disseminação de ‘ransomware’ [‘malware’ que sequestra arquivos, encriptam-nos e pedem resgate], incluindo Ryuk e Conti.
“O ZLoader é um ‘trojan’ bancário que recorre a ‘web injection’, uma técnica que, através da injeção de código malicioso, permite roubar ‘cookies’, ‘passwords’ e quaisquer outras informações sensíveis“, explica a CPR.
MAIS: Relatório da Check Point Software destaca o impacto do cyber-crime ao redor do mundo
“Conhecido por distribuir ‘malware’, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do ‘ransomware’ Conti“, acrescentou o comunicado.
A Check Point Software ainda informa que o ataque tem início com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java e, a partir daí, o atacante tem acesso total ao sistema.
“Assim, o atacante carrega e executa ‘scripts’ que descarregam mais ‘scripts’ que, por sua vez, executam o ‘software’ mshta.exe com o ficheiro appContast.dll como parâmetro“, diz a CPR.
“O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro” e esta informação “descarrega e executa o ‘payload’ Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas“, finaliza.
Até ao momento, a CPR “tem registo de 2.170 vítimas únicas”, sendo que a maioria reside no Estados Unidos, seguido do Canadá e Índia.
“”As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores“, afirma Kobi Eisenkraft, ‘malware researcher’ da Check Point, citado no comunicado.