Der Banking-Trojaner ZLoader ist erneut auf dem Vormarsch – die Sicherheitsexperten von Check Point vermuten, dass die Gruppe MalSmoke dahintersteckt.
Die Sicherheitsforscher von Check Point Research (CPR), die Forschungsabteilung von Check Point, beobachten steigende Aktivitäten der Malware ZLoader. Das Besondere dabei: Die Schad-Software nutzt Microsofts Dateisignaturen aus, um den Anschein von Legitimität zu erwecken. Allerdings wurde das digitale Wasserzeichen verändert.
Im vergangenen Jahr war ZLoader besonders in den Sommermonaten aufgefallen, denn damals kauften die Betreiber hinter der Malware, die Gruppe MalSmoke, einige Google-Keyword-Anzeigen, um verschiedene Malware-Stämme zu verbreiten, darunter die berüchtigte Ryuk Ransomware. Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher über 2100 Opfer in 111 Ländern identifizieren. Deutschland liegt auf dem sechsten Platz.
Die Infektionskette
- Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms, das vorgibt, eine Java-Installation zu sein.
- Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. Der Angreifer lädt einige Skripte hoch und führt sie aus. Dies laden weitere Skripte herunter, die eine mshta.exe mit der Datei appContast.dll als Parameter ausführen.
- Die Datei appContast.dll wirkt tatsächlich von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugefügt wurden.
- Die hinzugefügten Informationen laden die endgültige ZLoader-Nutzlast herunter und führen sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.
Zudem entwickeln die Verantwortlichen die Malware-Kampagne wöchentlich weiter, um eine effektive Gegenwehr zu erschweren.
Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, ist davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von MalSmoke handelt.
Kobi Eisenkraft, Malware-Forscher bei Check Point, erklärt: „Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ZLoader-Kampagne gefunden, die Microsofts digitale Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen. Die ersten Hinweise auf die neue Kampagne wurden im November 2021 entdeckt. Die Angreifer, die wir MalSmoke zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben wir mehr als 2000 Opfer in 111 Ländern gezählt, Tendenz steigend. Alles in allem scheinen die Operatoren der ZLoader-Kampagne große Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden wöchentlich. Ich empfehle den Anwendern dringend, das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmäßig nicht angewendet wird.“
Im Rahmen seiner Verantwortung hat Check Point bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
