Skadlig kod utnyttjar Microsofts digitala verifiering av filsignaturer

Check Point Research (CPR) har upptäckt en ny skadlig kampanj mot Microsofts digitala verifiering av filsignaturer som stjäl användaruppgifter och annan känslig information. Den skadliga koden, som kallas ZLoader, är en banktrojan och har redan drabbat över 2000 offer i 111 länder. ZLoader är känt för att sprida ransomware, såsom Ryuk och Conti. Den skadliga kampanjen kan spåras till november 2021 och hackergruppen Malsmoke.

Attacken inleds med en installation av ett legitimt fjärrhanteringsprogram som utger sig för att vara en Java-installation. Efter installationen har angriparen full tillgång till systemet och kan ladda upp och ner filer och även köra skript. Angriparen laddar upp och kör några skript som i sin tur laddar ner fler skript. Den tillagda informationen laddar ner och kör ZLoader som stjäl privat information såsom cookies och lösenord.

– Människor måste veta att de inte direkt kan lita på en fils digitala signatur, säger Kobi Eisenkraft, Malware Researcher hos Check Point Software Technologies. Av allt att döma verkar det som om personerna bakom ZLoader lägger stor kraft på att komma runt säkerhetsskydd och fortfarande uppdaterar sina metoder varje vecka. Jag uppmanar användare att tillämpa Microsofts uppdatering för strikt verifiering av Authenticode, som inte tillämpas som standard.

CPR har informerat Microsoft om problemen.