Se omite la verificación del código de Microsoft para eliminar el malware Zloader

Una nueva campaña de Zloader aprovecha la verificación de firmas digitales de Microsoft para distribuir cargas útiles de malware y robar las credenciales de usuario de miles de víctimas de 111 países.

La campaña orquestada por un grupo de amenazas conocidas como MalSmoke parece haber comenzado en noviembre de 2021 y aún se está fortaleciendo, según los investigadores de Check Point que la detectaron.

Zloader (también conocido como Terdot y DELoader) es un malware bancario identificado por primera vez en 2015 que puede robar credenciales de cuentas y varios tipos de información privada confidencial de sistemas infiltrados.

Más recientemente, Zloader se ha utilizado para colocar cargas útiles adicionales en dispositivos infectados, incluidas cargas útiles de ransomware como Ryuk y Egregor,

MalSmoke exploró varias formas de distribuir malware que roba información, desde spam y publicidad maliciosa hasta el uso de cebos de contenido para adultos.

Índice de contenidos
  1. Abuso del software de gestión remota Atera
  2. Eliminación de Zloader
  3. Se ignoran las comprobaciones de firma de código de Microsoft
  4. Víctimas principalmente afectadas de América del Norte

Abuso del software de gestión remota Atera

En la campaña más reciente, rastreada y analizada por los investigadores de Check Point, la infección comienza con la entrega de un archivo "Java.msi" que es un instalador de Atera modificado.

Atera es un software legítimo de gestión y supervisión remota empresarial ampliamente utilizado en la industria de las tecnologías de la información. Por lo tanto, es poco probable que las herramientas antivirus adviertan a la víctima, incluso si el instalador está ligeramente modificado.

No está claro cómo los actores de amenazas engañaron a las víctimas para que descargaran el archivo malicioso, pero podría ser a través de grietas encontradas en activos de software pirateados o correos electrónicos de phishing.

Zloader después de la cadena de infección de la campaña
Zloader después de la cadena de infección de la campaña
Fuente: Check Point

Tras la ejecución, Atera crea un agente y asigna el punto final a una dirección de correo electrónico bajo el control del autor de la amenaza.

Luego, los atacantes obtienen acceso remoto completo al sistema, lo que les permite ejecutar scripts y cargar o descargar archivos, especialmente las cargas útiles de malware Zloader.

La solución de monitoreo remoto de Atera incluye una prueba gratuita de 30 días, más que suficiente para que los oponentes lleven a cabo el ataque.

Eliminación de Zloader

Los scripts por lotes incluidos en el instalador malicioso realizan algunas verificaciones a nivel de usuario para asegurarse de que tengan privilegios de administrador, agreguen exclusiones de carpetas a Windows Defender y deshabiliten herramientas como "cmd.exe" y el administrador de tareas.

Posteriormente, los siguientes archivos adicionales se descargan en la carpeta% AppData%:

  • 9092.dll: la carga útil principal, Zloader.
  • adminpriv.exe: Nsudo.exe, que permite que los programas se ejecuten con privilegios elevados.
  • appContast.dll: se utiliza para ejecutar 9092.dll y new2.bat.
  • reboot.dll: también se utiliza para ejecutar 9092.dll.
  • new2.bat: desactive el "Modo de aprobación de administrador" y apague la computadora.
  • auto.bat: ubicado en la carpeta de inicio para la persistencia del inicio.

Zloader se ejecuta con "regsvr32.exe" y se inyecta en el proceso "msiexec.exe", que se comunica con el servidor C2 (lkjhgfgsdshja[.]con).

Finalmente, el script "new2.bat" modifica el registro para establecer los privilegios de todas las aplicaciones a nivel de administrador. Es necesario reiniciar para que este cambio surta efecto, por lo que el malware obliga al sistema infectado a reiniciarse en este punto.

Se ignoran las comprobaciones de firma de código de Microsoft

Los analistas de Check Point han confirmado que appContast.dll, que ejecuta la carga útil de Zloader y el script de cambio de registro, contiene una firma de código válida, por lo que el sistema operativo esencialmente confía en él.

DLL malicioso con una firma de código válida
DLL malicioso con una firma de código válida
Fuente: Check Point

Los analistas compararon la DLL modificada con la original (de Atera) y encontraron ligeros cambios en la suma de comprobación y el tamaño de la firma.

Estos sutiles cambios no son suficientes para revocar la validez de la firma electrónica, pero al mismo tiempo permiten que alguien agregue datos a la sección de firma de un archivo.

Cambios en la sección de firmas en la DLL
Cambios en la sección de firmas en la DLL
Fuente: Check Point

Microsoft ha sido consciente de este agujero de seguridad desde 2012 (CVE-2020-1599, CVE-2013-3900 y CVE-2012-0151) y ha intentado solucionarlo publicando políticas de verificación de archivos cada vez más estrictas. Sin embargo, por alguna razón, estos permanecen deshabilitados de forma predeterminada.

Puede encontrar instrucciones sobre cómo solucionarlo usted mismo habilitando políticas más estrictas como se detalla en esta advertencia heredada.

Alternativamente, puede pegar las líneas siguientes en el Bloc de notas, guardar el archivo con la extensión .reg y ejecutarlo.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESoftwareMicrosoftCryptographyWintrustConfig]
"EnableCertPaddingCheck"="1"

[HKEY_LOCAL_MACHINESoftwareWow6432NodeMicrosoftCryptographyWintrustConfig]
"EnableCertPaddingCheck"="1"

Víctimas principalmente afectadas de América del Norte

A partir del 2 de enero de 2021, la última campaña de Zloader infectó 2170 sistemas únicos, incluidos 864 con direcciones IP de EE. UU. Y otros 305 de Canadá.

Diagrama de las víctimas de la última campaña
Diagrama de las víctimas de la última campaña
Fuente: Check Point

Si bien el número de víctimas no parece alarmante, estos ataques están muy dirigidos y pueden causar un daño significativo a cada víctima.

Dado que se desconoce el vector de la infección, la mejor manera de protegerse de esta amenaza es seguir las recomendaciones de aplicación de políticas y utilizar los IoC (Indicadores de compromiso) proporcionados por los investigadores de Check Point para la detección proactiva de amenazas.

Descubre más contenido

Subir Change privacy settings