Los investigadores han identificado una nueva campaña que implementa el malware bancario Zloader aprovechando la verificación de firmas de Microsoft. Esta estrategia ayuda al malware a evadir los controles de seguridad, ya que entrega la carga útil en una DLL del sistema firmada.
Malware Zloader que aprovecha la verificación de firmas de Microsoft:
Zloader es un malware antiguo que ejecutó campañas activas por última vez en 2021. En su última campaña de malware , los actores de amenazas detrás de Zloader explotaron la verificación de firmas de Microsoft para implementar la carga útil de manera sigilosa, según Check Point Research.
Como se detalla en su informe , el ataque comienza cuando el malware abusa del software legítimo de administración remota (RMM) para llegar a los sistemas de destino. Durante su análisis, encontraron que el malware abusaba del software Atera RMM para este propósito.
Con respecto a cómo funciona el software, el informe dice:
“Atera puede instalar un agente y asignar el punto final a una cuenta específica utilizando un archivo .msi único que incluye la dirección de correo electrónico del propietario”.
Eso es lo que explotaron los actores de amenazas cuando crearon un instalador malicioso con una dirección de correo electrónico temporal, imitando la instalación de Java.
Una vez que el instalador malicioso llega al dispositivo, les da a los atacantes acceso al dispositivo objetivo. Luego ejecutan dos archivos .bat en el dispositivo para modificar Windows Defender e implementar los componentes de malware restantes.
Finalmente, el malware ejecuta un ejecutable malicioso con un archivo DLL que lleva una válida firma digital de Microsoft.
Como se dijo, “El script ejecuta mshta.exe con el archivo appContast.dll como parámetro. Cuando echamos un vistazo más de cerca a la DLL, notamos que el archivo está firmado por Microsoft con una firma válida y su nombre de archivo original es AppResolver.dll”.
Los atacantes incluyeron un script adicional en este archivo DLL para ejecutar algunas tareas más. Como se observó, modificaron el firmado digitalmente archivo a nivel de bytes para retener las firmas válidas. Esta táctica furtiva los hizo evadir los EDR.
Luego, en la etapa final, el malware llama “msiexec.exe” e inyecta la carga útil, lo que hace que se comunique con el C&C.
Mitigación recomendada:
La principal actividad detrás del éxito de esta nueva campaña de Zloader es el abuso de la validación de firmas de Microsoft.
Como se describe, este no es un defecto recién descubierto. De hecho, Microsoft ya solucionó este problema (con CVE-2020-1599, CVE-2013-3900 y CVE-2012-0151) en 2013. Sin embargo, luego retiró las correcciones después de determinar “ese impacto en el software existente podría ser alto “.
Entonces, mientras el parche está disponible, no está activo por defecto. No obstante, los usuarios pueden habilitar esta solución modificando las claves de registro. Para esto, los usuarios pueden pegar las siguientes líneas en un archivo de Bloc de notas y guardarlo con la extensión “.reg”.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
Sin embargo, esto aplicará una estricta verificación de firma que puede causar algunos problemas, como advierten los investigadores,
“Después de aplicar la corrección, algunas firmas de instaladores legítimos benignos aparecerán con una firma no válida. Además, si mshta.exe no es relevante en su entorno, puede deshabilitarlo y mitigar la ejecución de los scripts que se insertan en dichos archivos”.
