Tel: +41 44 388 60 80
info@jeko.com
 

Zloader und MalSmoke: Hacker ändern Microsofts Dateisignaturen

Home » Check Point » Zloader und MalSmoke: Hacker ändern Microsofts Dateisignaturen

Der Banking-Trojaner Zloader ist erneut auf dem Vormarsch – die Sicherheitsexperten von Check Point vermuten, dass die Gruppe MalSmoke dahintersteckt.

San Carlos, Kalifornien – 5. Januar 2022 – Die Sicherheitsforscher von Check Point Research (CPR), der Forschungsabteilung von Check Point® Software Technologies Ltd. (NASDAQ: CHKP), beobachten steigende Aktivitäten der Malware Zloader. Das Besondere dabei: Die Schad-Software nutzt Microsofts Dateisignaturen aus, um den Anschein von Legitimität zu erwecken. Allerdings wurde das digitale Wasserzeichen verändert. Im vergangenen Jahr war Zloader besonders in den Sommermonaten aufgefallen, denn damals kauften die Betreiber hinter der Malware, die Gruppe MalSmoke, einige Google-Keyword-Anzeigen, um verschiedene Malware-Stämme zu verbreiten, darunter die berüchtigte Ryuk Ransomware. Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher über 2’100 Opfer in 111 Ländern identifizieren.

Die Infektionskette

  1. Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms, das vorgibt, eine Java-Installation zu sein.
  2. Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. Der Angreifer lädt einige Skripte hoch und führt sie aus. Diese laden weitere Skripte herunter, die eine mshta.exe mit der Datei appContast.dll als Parameter ausführen.
  3. Die Datei appContast.dll wirkt tatsächlich von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugefügt wurden.
  4. Die hinzugefügten Informationen laden die endgültige Zloader-Nutzlast herunter und führen sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.

Zudem entwickeln die Verantwortlichen die Malware-Kampagne wöchentlich weiter, um eine effektive Gegenwehr zu erschweren.

Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, ist davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von MalSmoke handelt.

Kobi Eisenkraft, Malware-Forscher bei Check Point, erklärt: „Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue Zloader-Kampagne gefunden, die Microsofts digitale Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen. Die ersten Hinweise auf die neue Kampagne wurden im November 2021 entdeckt. Die Angreifer, die wir MalSmoke zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben wir mehr als 2’000 Opfer in 111 Ländern gezählt, Tendenz steigend. Alles in allem scheinen die Operatoren der Zloader-Kampagne grosse Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden wöchentlich. Ich empfehle den Anwendern dringend, das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmässig nicht angewendet wird.“

Im Rahmen seiner Verantwortung hat Check Point bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.

Die komplette Analyse der aktuellen Zloader-Kampagne finden Sie unter:
https://research.checkpoint.com/2022/can-you-trust-a-files-digital-signature-new-zloader-campaign-exploits-microsofts-signature-verification-putting-users-at-risk/

Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/

Folgen Sie Check Point auf:
Twitter: https://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Über Check Point Research
Check Point Research (CPR) bietet führende Cyber-Bedrohungsinformationen für Check Point Software-Kunden und die grössere Intelligenz-Community. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die auf der ThreatCloud gespeichert sind, um Hacker fernzuhalten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmassnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, der Strafverfolgung und verschiedenen CERTs zusammenarbeiten.

Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cyber-Sicherheitslösungen für Unternehmen und Regierungen weltweit. Die Lösungen des Check-Point-Infinity-Portfolios schützen Kunden gegen Cyber-Angriffe der 5. Generation mit einer in der Branche führenden Fangrate von Malware, Ransomware und anderen Bedrohungen. Infinity ruht auf drei Kernsäulen, die kompromisslose Sicherheit und Bedrohungsabwehr der Generation V in Konzern-Umgebungen bieten: Check Point Harmony für Remote-Benutzer; Check Point CloudGuard für die automatische Absicherung von Clouds; Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren – alles gesteuert durch das branchenweit umfassendste und intuitivste Unified Security Management. Check Point schützt über 100’000 Unternehmen jeder Grösse in der ganzen Welt.

Pressekontakte:
Check Point Software Technologies
Alvaro Amato
Country Manager Schweiz

Jenni Kommunikation AG
Sylvana Zimmermann
Tel: +41 44 388 60 80
E-Mail: sylvana.zimmermann@jeko.com

Posted on