Tanınmış bir kötü amaçlı yazılım, kurbanlarından parolaları ve diğer hassas bilgileri çalmak için Microsoft’un dijital imza doğrulamasını kötüye kullanarak çevrimiçi ortamda yeni turlar yapıyor.
Yeni kampanyayı fark eden Check Point Research’ten (CPR) siber güvenlik araştırmacılarına göre, ZLoader kötü amaçlı yazılımı en son Conti fidye yazılımını birkaç ay önce dağıtmak için kullanıldı.
Ancak bu sefer ZLoader son yük olurken, kampanyanın amacı cihazları şifrelemek değil hassas verileri çalmak.
sinsi ekleme
CPR, dağıtım sürecinin olağandışı bir şey olmadığını açıklıyor. İlk olarak, kurban “Java yüklemesi gibi davranarak” bir uzaktan yönetim programı kurar, ancak aslında bu, saldırganlara sisteme tam erişim sağlar ve onların dosya yüklemelerine ve indirmelerine ve ayrıca komut dosyalarını çalıştırmalarına izin verir.
Saldırganlar daha sonra “parametre olarak appContrast.dll dosyasıyla mshta.exe çalıştıran daha fazla komut dosyası indiren birkaç komut dosyası yükleyip çalıştırın”.
CPR, appContrast.dll dosyasının Microsoft tarafından imzalandığını, dosyanın sonuna daha fazla bilgi eklenmiş olmasına rağmen, bu eklenen bilgilerin şifreleri ve diğer hassas verileri çalan son ZLoad yükleyicisini indirdiğini ve çalıştırdığını açıklıyor.
binlerce kurban
CPR, kötü amaçlı yazılımın 111 ülkede 2.000’den fazla cihaza yüklendiğini ve kurbanların çoğunun ABD, Kanada ve Hindistan’da olduğunu iddia ediyor.
CPR, kampanyanın arkasındaki siber suç grubunun “önceki kampanyalarla birkaç benzerlik göz önüne alındığında” MalSmoke olarak adlandırıldığına inanıyor.
Check Point Kötü Amaçlı Yazılım Araştırmacısı Kobi Eisenkraft, “Yeni kampanyanın kanıtlarını ilk olarak Kasım 2021 civarında görmeye başladık” dedi. “Sonuç olarak, Zloader kampanya yazarlarının savunmadan kaçınmaya büyük çaba sarf ettiği ve yöntemlerini hala haftalık olarak güncellediği görülüyor. Kullanıcıları, kesin Authenticode doğrulaması için Microsoft’un güncellemesini uygulamalarını şiddetle tavsiye ediyorum, Varsayılan olarak uygulanmaz.”
Check Point Research, Microsoft’un varsayılan olarak uygulanmayan katı Authenticode doğrulaması güncellemesini uygulamanın yanı sıra, bilinmeyen kaynaklardan veya sitelerden program yüklerken herkese dikkatli olmasını hatırlatır. Son olarak, bağlantılara tıklarken veya e-posta eklerini açarken dikkatli olun, çünkü bunlar genellikle kötü amaçlıdır.