Menos Fios

Check Point alerta para novo software malicioso que rouba credenciais

A Check Point Research (CPR) alertou ontem(05) para uma nova campanha de ‘software‘ malicioso (‘malware‘) ZLoader, cuja a sua operacionalidade é roubar as credenciais dos utilizadores e informações sensíveis, e onde até ao momento já soma com “mais de 2.000 vítimas em 111 países”.
Através de um comunicado, a área de ‘Threat Intelligence’ da Check Point Software Tecnologies, especializado na área da cibersegurança, fez um “alerta para uma nova campanha de ‘malware’ que esta a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis“.

Segundo a empresa, “ZLoader de seu nome, e onde o ‘malware’ já soma mais de 2.000 vítimas em 111 países”, sendo que a CPR atribui a campanha maliciosa, iniciada no mês de Novembro, ao grupo Malsmoke, “que tem feito um grande esforço para aprimorar as suas técnicas evasivas“.

Pelo que foi revelado, o  ZLoader é conhecido por ser uma ferramenta de disseminação de ‘ransomware’ [‘malware’ que sequestra arquivos, encriptam-nos e pedem resgate], incluindo Ryuk e Conti.

O ZLoader é um ‘trojan’ bancário que recorre a ‘web injection’, uma técnica que, através da injeção de código malicioso, permite roubar ‘cookies’, ‘passwords’ e quaisquer outras informações sensíveis“, explica a CPR.

MAIS: Relatório da Check Point Software destaca o impacto do cyber-crime ao redor do mundo

Conhecido por distribuir ‘malware’, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do ‘ransomware’ Conti“, acrescentou o comunicado.

A Check Point Software ainda informa que o ataque tem início com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java e, a partir daí, o atacante tem acesso total ao sistema.

Assim, o atacante carrega e executa ‘scripts’ que descarregam mais ‘scripts’ que, por sua vez, executam o ‘software’ mshta.exe com o ficheiro appContast.dll como parâmetro“, diz a CPR.

O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro” e esta informação “descarrega e executa o ‘payload’ Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas“, finaliza.

Até ao momento, a CPR “tem registo de 2.170 vítimas únicas”, sendo que a maioria reside no Estados Unidos, seguido do Canadá e Índia.

“”As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores“, afirma Kobi Eisenkraft, ‘malware researcher’ da Check Point, citado no comunicado.

Exit mobile version