Zloader: MalSmoke-Hacker ändern Microsofts Dateisignaturen

dp — Wed, 05 Jan 2022 14:43:21 +0000

Sicherheitsforscher von Check Point Research beobachten zunehmende Hacker-Aktivitäten mit Malware Zloader

[datensicherheit.de, 05.01.2022] „Zloader“, ein Banking-Trojaner, ist nach aktuellen Erkenntnissen der Sicherheitsexperten von Check Point Research (CPR), der Forschungsabteilung der Check Point® Software Technologies Ltd., „erneut auf dem Vormarsch“ – sie vermuten demnach, dass Hacker der Gruppe „MalSmoke“ dahinterstecken.

Abbildung: CPR

Aktuelle Hacker-Kampagne zielt auf über 2.100 Opfer in 111 Ländern

Hacker-Gruppe MalSmoke missbrauchte Google-Keyword-Anzeigen, um Malware zu verbreiten

Die Sicherheitsforscher hätten „steigende Aktivitäten der Malware ,Zloader‘“ beobachtet. Das Besondere dabei sei: Diese Schad-Software nutze Microsofts Dateisignaturen aus, um den Anschein von Legitimität zu erwecken. Allerdings sei das digitale Wasserzeichen verändert worden.

2021 sei „ZLoader“ besonders in den Sommermonaten aufgefallen, denn damals hätten die Betreiber hinter dieser Malware, die Gruppe „MalSmoke“, einige Google-Keyword-Anzeigen gekauft, um verschiedene Malware-Stämme zu verbreiten, darunter die berüchtigte „Ryuk“-Ransomware.

„Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher über 2.100 Opfer in 111 Ländern identifizieren. Deutschland liegt auf dem sechsten Platz.“

Hacker entwickeln Malware-Kampagne weiter, um effektive Gegenwehr zu erschweren

Die Infektionskette lt. CPR:

Der Angriff beginne mit der Installation eines legitimen Fernverwaltungsprogramms, „das vorgibt, eine ,Java‘-Installation zu sein“.
Nach dieser Installation habe der Angreifer vollen Zugriff auf das System und sei in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. „Der Angreifer lädt einige Skripte hoch und führt sie aus.“ Diese würden weitere Skripte herunterladen, welche eine „mshta.exe“ mit der Datei „appContast.dll“ als Parameter ausführten.
Die Datei „appContast.dll“ wirke tatsächlich wie von Microsoft signiert, „obwohl am Ende der Datei weitere Informationen hinzugefügt wurden“.
Die hinzugefügten Informationen würden die endgültige „ZLoader“-Nutzlast herunterladen und sie ausführen, „wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden“.

Zudem entwickelten die Verantwortlichen diese Malware-Kampagne wöchentlich weiter, um eine effektive Gegenwehr zu erschweren.

Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, sei davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von „MalSmoke“ handele.

Erste Hinweise auf neue Hacker-Kampagne im November 2021 entdeckt

„Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ,ZLoader‘-Kampagne gefunden, die Microsofts digitale Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen“, warnt Kobi Eisenkraft, Malware-Forscher bei Check Point, in seiner Stellungnahme. Die ersten Hinweise auf diese neue Kampagne seien im November 2021 entdeckt worden.

Eisenkraft führt aus: „Die Angreifer, die wir ,MalSmoke‘ zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben wir mehr als 2.000 Opfer in 111 Ländern gezählt, Tendenz steigend. Alles in allem scheinen die Operatoren der ,Zloader‘-Kampagne große Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden wöchentlich.“

Eisenkraft empfiehlt den Anwendern dringend, „das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmäßig nicht angewendet wird“. Im Rahmen seiner Verantwortung habr Check Point bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert.

Weitere Informationen zum Thema:

cp CHECK POINT RESEARCH, Golan Cohen, 05.03.2021
Can You Trust a File’s Digital Signature? New Zloader Campaign exploits Microsoft’s Signature Verification putting users at risk

ZLoader: Malwareanalyse von Proofpoint belegt neue Variante

cp — Sun, 24 May 2020 14:49:11 +0000

Neue Variante der Banking-Malware seit Dezember 2019 gesichtet

[datensicherheit.de, 24.05.2020] Die Banking-Malware ZLoader ist unter Cybersicherheitsexperten ein alter Bekannter. Bereits seit 2006 existiert diese Abwandlung der berüchtigten Zeus-Banking-Malware. Vor allem trieb die Schadsoftware zwischen 2016 und 2018 auf der ganzen Welt ihr Unwesen. In der Folge beruhigte sich die Lage – bis jetzt!

Neue Variante von ZLoader seit Dezember 2019 gesichtet

Die Cybersicherheitsforscher von Proofpoint beobachten seit vergangenem Dezember eine neue Variante von ZLoader, die analog zur ursprünglichen Schadsoftware Webinjects nutzt, um Zugangsdaten und andere private Informationen von Kunden bestimmter Banken zu stehlen. Seit Anfang 2020 konnte Proofpoint bereits über 100 Kampagnen mit der neuen Version von ZLoader beobachten, bei denen Empfänger in Deutschland, den Vereinigten Staaten, Kanada, Polen und Australien zum Ziel von Cyberkriminellen wurden. Die Angreifer versendeten hierzu E-Mails mit verschiedenen Ködern, um ihre potenziellen Opfer in die Falle zu locken. Darunter finden sich Tipps zur Verhinderung von Betrug in Zusammenhang mit dem grassierenden Coronavirus, COVID-19-Tests sowie Rechnungen.

Malware stiehlt Passwörtern und Cookie

Zu den Funktionen der Malware zählt darüber hinaus der Diebstahl von Passwörtern und Cookies, die in den Browsern der Opfer gespeichert sind. Mittels der erbeuteten Informationen ist die Malware in der Lage, einen nachgeladenen VNC-Client (Virtual Network Computing) einzusetzen, um über das legitime Endgerät des Bankkunden illegale Finanztransaktionen durchzuführen.

Bei der Analyse der neuen Variante stellten die Sicherheitsexperten fest, dass dieser wichtige Funktionen der ursprünglichen Malware fehlen. So verzichtet die neue Schadsoftwarevariante auf Code-Verschleierung, String Encryption und einige weitere wichtige Elemente des ursprünglichen ZLoader. Proofpoint geht daher davon aus, dass es sich bei der neuen Modifikation nicht um eine Weiterentwicklung der 2018er Variante handelt, sondern sie vermutlich eine Sonderform einer früheren Version darstellt.