Malsmoke 黑客组织现在正在利用微软代码签名验证工具中的一个漏洞来部署恶意软件并窃取用户数据。

周三，Check Point Research (CPR) 表示，截至目前，已经在全球范围内发现了超过2,100 名受害者，其中大多数人居住在美国、加拿大和印度——尽管已经发现了恶意软件的证据。 111 个国家。该恶意代码被称为 ZLoader，过去曾被用于传递银行木马，并与多种勒索软件密切相关 。

新的攻击活动被认为于 2021 年 11 月开始。在最初的攻击阶段，恶意软件的运营商已决定使用合法的远程管理软件 Atera 作为感染系统的跳板。虽然目前尚不清楚包含 Atera 的恶意程序包是如何分发的，但在安装后，Atera 还会显示一个虚假的 Java 安装程序。然而，该文件正忙于安装将端点 PC 连接到攻击者帐户的代理，从而允许他们远程部署恶意负载。然后将两个 .bat 文件上传到受害者的机器：第一个负责篡改 Windows Defender，第二个用于加载 ZLoader。在此阶段，添加了 Windows Defender 排除项以阻止网络安全工具启动警报，禁用可能检测到对任务管理器和 cmd.exe 的操作的现有软件，并执行用于禁用“管理员批准模式”的进一步脚本。

此外，在启动文件夹中添加了一个脚本以实现持久性，并强制 PC 重新启动以应用系统更改。

据该团队称，值得注意的是一个签名的恶意 .DLL 文件，用于用 ZLoader 感染机器。CPR 表示，该文件已被篡改并附加了恶意代码，该恶意代码利用了在CVE-2020-1599、CVE-2013-3900和CVE-2012-0151中提到已知PE文件签名验证问题。

虽然几年前发布了修复程序，但针对合法安装程序的误报，导致补丁仅选择性更新。

研究人员说：“微软在 2013 年通过安全公告解决了这个问题并推出了修复程序。” “但是，他们在实施后表示，他们“确定对现有软件的影响可能很大。”因此，在 2014 年 7 月，他们取消了更严格的文件验证并将其更改为选择性更新。换句话说，此修复默认情况下禁用，这使得恶意软件作者能够修改签名文件。”

然后部署最终的 ZLoader 有效负载。该恶意软件本身就是一种银行木马，能够窃取用户凭据、cookie 和敏感信息（包括金融账户登录数据），并充当其他恶意代码的后门和加载程序。

9 月，微软警告称 ZLoader 正在通过谷歌关键字广告传播，以用 Conti 勒索软件感染易受攻击的 PC。

CPR 认为MalSmoke是最新活动的幕后黑手，原因是代码相似、使用 Java 插件作为虚假安装程序，以及该组织以前用于传播Raccoon Stealer恶意软件的域名注册商记录之间存在联系。

根据研究人员的说法，被利用的身份验证漏洞是一个有问题的领域，因为默认情况下没有启用微软更严格的签名选项——虽然网络安全公司建议用户应用微软的更新进行 Authenticode 验证，但这也可能偶尔将合法安装程序标记为具有无效的签名。 

Check Point 的恶意软件研究员 Kobi Eisenkraft 评论说：“总而言之，ZLoader 活动的作者似乎在防御规避方面付出了巨大的努力，并且仍在每周更新他们的方法。” “我强烈建议用户应用微软严格的 Authenticode 验证进行更新，因为默认情况下是不应用的。”

微软和 Atera 已经获悉研究人员的发现。 “我们在 2013 年发布了一个安全更新 (CVE-2013-3900)，以帮助保护客户免受此漏洞的利用，”微软发言人告诉 ZDNet。“应用更新并启用安全公告中指示的配置的客户将受到保护。利用此漏洞需要破坏用户的机器或说服受害者运行特制的签名 PE 文件。”

声明：本文来源互联网，版权归作者所有，转载目的在于传递更多信息。如有侵权，请联系本站删除。

最新资讯

沃通SSL证书OCSP本地化部署，为HTTPS加密提速

20%的恶意网站未列入黑名单，用户如何防范？

警惕东京奥运会门票虚假倒卖网站，用EV SSL证书反钓鱼

2019年电子邮件攻击造成17亿美元损失

Poloniex加密货币交换泄露数据，建议数据安全从SSL证书做起

标签推荐：数字证书申请 | 域名ssl证书 | https证书申请| 数字证书过期| 网站证书安装| 可靠的ssl证书| 小程序证书| ca认证电子签名| 微软代码签名| android数字签名| java代码签名| ssl证书部署| 时间戳技术| 电子签名技术| https证书配置| 谷歌浏览器证书| tomcat数字证书| openssl漏洞| ECC加密算法| 服务器SSL证书| 链路层劫持| 物联网安全技术| 火狐插件签名证书