Il malware non è nuovo, già si conosceva, così come il suo modus operandi e quell’inserimento di un codice in firme di file valide per diffondere il suo virus. Quello che non si riesce a fermare è la variante di Zloader.
Il nuovo malware viene utilizzato, stavolta, dai cybercriminali. Che sfruttano le firme valide di Microsoft per evitare il rilevamento da parte del software di sicurezza: oltre duemila le vittime in ben 11 paesi, Stati Uniti, Canada e India al momento i più colpiti.
La variante Zloader è stata scoperta dai ricercatori di Check Point Software Technologies, nota azienda israeliana produttrice di dispositivi di rete e software, specializzata in prodotti relativi alla sicurezza quali firewall e VPN.
Variante Zloader, il nuovo escamotage non si riesce proprio a fermare
Nell’ultimo report è stato riferito che il Trojan bancario Zloader sta utilizzando un nuovo script che gli consente di infettare di nascosto i PC e installare la registrazione remota, per lanciare malware. Sebbene il gruppo sia attivo almeno dal 2020, un nuovo escamotage utilizzato dagli operatori di Zloader ha attirato l’attenzione dei ricercatori di sicurezza.
LEGGI ANCHE >>> Tim Cook da record: ecco quanto ha guadagnato nel 2021 il numero uno di Apple
I membri del team di Check Point hanno scoperto che l’exe di Zloader sta utilizzando file DLL con firme Microsoft valide. L’estensione che identifica, nei sistemi operativi MS-DOS, OS/2 e Windows, un file che contiene codice eseguibile, cioè un programma o un driver di dispositivo viene inviato all’utente tramite social engineering, ma anche attraverso l’uso di strumenti di gestione remota legittimi, come Atera tanto per fare un esempio.
LEGGI ANCHE >>> Twitter, su iOS c’è un modo nuovo per rispondere ai tweet, ma non parlate di novità
Una volta caricate, le librerie eseguono quindi script di attacco incorporati che cercano di raggiungere un server di comando e controllo, che quindi esegue il push di ulteriori download. Così facendo, contenendo la firma valida, ci sono meno probabilità che i file infettati vengano rilevati dai software di sicurezza come Microsoft Defender.
Il team israeliano è riuscito a scoprire scoperto che i cybercriminali di malware avevano preso librerie legittime firmate, manipolando porzioni chiave di codice in modo tale da consentire l’iniezione degli script di attacco, senza alterare la firma. Che quindi rimane autentica.
La tecnica sfrutta le vulnerabilità più vecchie della tecnologia di verifica della firma di Microsoft che, se priva di patch, consente agli attori delle minacce di aggirare i controlli della firma.
“Queste semplici modifiche mantengono la validità della firma, ma ci consentono di aggiungere dati alla sezione della firma di un file“. I ricercatori si spiegano: “Dato che non possiamo eseguire il codice compilato dalla sezione della firma di un file – rimarcano – inserire uno script scritto in VBscript o JavaScript ed eseguire il file utilizzando mshta.exe è una soluzione semplice che potrebbe eludere alcuni EDR, ossia rilevamento e risposta degli endpoint”.
Le vulnerabilità di manomissione sono note da anni, il primo Zloader è stato risolto da Microsoft nel 2013, ma questa variante insita nell’aggiornamento per la protezione è stato successivamente reso una funzionalità di attivazione a causa dei potenziali problemi di compatibilità. Check Point ha stimato che 2.170 indirizzi IP univoci avevano eseguito il file DLL infetto.
Il ricercatore capo di Check Point, Kobi Eisenkraft, ha riferito che “gli amministratori che cercano di proteggere le proprie reti da potenziali attacchi non dovrebbero solo installare l’aggiornamento Microsoft – le sue parole in uno stralcio di un’intervista a SearchSecurity – e le modifiche alle chiavi di registro di Microsoft, ma dovrebbero anche assicurarsi che i loro sistemi siano aggiornati con tutte le patch di sicurezza“.