Digitálním podpisům nelze slepě důvěřovat, chybu Microsoftu zneužívají útočníci

Odborníci odhalili řadu útoků využívající bezpečnostní chyby v softwaru společnosti Microsoft. Nová kampaň Zloader zneužívá ověřovací technologii Microsoft ke krádeži citlivých informací.

Výzkumný tým společnosti Check Point varuje před novou malwarovou kampaní zneužívající technologii Microsoft pro ověřování elektronických podpisů.

Cílem jsou krádeže přihlašovacích údajů a citlivých informací. Bankovní trojan Zloader má už více než 2 000 obětí ze 111 zemí. Za nejnovějšími útoky stojí pravděpodobně kyberzločinecká skupina MalSmoke, která pravidelně mění a vylepšuje svoje maskovací metody. Microsoft už dříve uvedl, že hackeři stojící za Zloaderem nakupovali na Googlu reklamu, aby šířili různé varianty škodlivých kódů, včetně ransomwaru Ryuk.

Obrázek: Digitálním podpisům nelze slepě důvěřovat, chybu Microsoftu zneužívají útočníci

Malware krade hesla přihlašovací údaje do bankovnictví. Foto: Freepik

Jak probíhají útoky?

Útoky probíhají v několika fázích. Cílem některých kroků je vyhnout se odhalení bezpečnostními technologiemi, některé načítají další části útoku z řídícího serveru a další fáze se zaměřují na to, aby hrozba mohla v počítači škodit dlouhodobě a nevzbudila pozornost. Útočníci chtějí útoky automatizovat a mít možnost je průběžně měnit a vylepšovat, takže malware stahuje a spouští z C&C serveru další soubory.

  1. Útok začíná instalací běžně používaného programu Atera pro vzdálenou správu. Hackeři vytvořili verzi, která na zařízení oběti nepozorovaně instaluje škodlivého agenta.
  2. Po instalaci má útočník plný přístup k systému a může nahrávat/stahovat soubory a také spouštět další skripty, až dojde ke spuštění mshta.exe se souborem appContast.dll jako parametrem.
  3. Soubor appContast.dll je podepsán společností Microsoft, přestože na konec souboru byly přidány další informace. Při bližší analýze DLL knihovny zjistíme, že soubor sice obsahuje platný digitální podpis společnosti Microsoft, ale jeho původní název je AppResolver.dll a je k němu navíc připojený skript.
  4. Přidané informace stáhnou a spustí finální část Zloaderu a ukradnou obětem přihlašovací údaje a soukromé informace.
Obrázek: Digitálním podpisům nelze slepě důvěřovat, chybu Microsoftu zneužívají útočníci

Zjednodušené schéma ukazující infekční řetězec. Foto: Se souhlasem společnosti Check Point

Doposud bylo identifikováno 2170 obětí. Nejvíce jich pochází ze Spojených států, následuje Kanada a Indie. Oběti jsou ale hlášené také z České republiky.

Digitálním podpisům nelze slepě důvěřovat

Je potřeba si uvědomit, že digitálním podpisům u souborů nelze slepě důvěřovat. Nová kampaň Zloader zneužívá ověřovací technologii Microsoft ke krádeži citlivých informací. Útočníci, pravděpodobně skupina MalSmoke, se zaměřují na krádeže přihlašovacích údajů a soukromých informací. Zatím víme o více než 2 000 obětech ze 111 zemí. Útočníci věnují značné úsilí, aby se vyhnuli obranným mechanismům a své metody každý týden aktualizují. Uživatelé by proto měli použít aktualizaci technologie Microsoft Authenticode,“ říká Pavel Krejčí, Security Engineer v kyberbezpečnostní společnosti Check Point Software Technologies.

Krade hesla i peníze z účtů: Co je malware a jak se ho zbavit? Pozor na podvodné telefonáty, přesvědčivost je hlavní zbraní útočníka. Jak se bránit před vishingem?

Co radí odborníci?

Použijte aktualizaci technologie Microsoft Authenticode. Do Poznámkového bloku vložte tyto řádky

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
„EnableCertPaddingCheck“=“1“
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
„EnableCertPaddingCheck“=“1“

a před spuštěním soubor uložte s příponou .reg. Po aktualizaci ovšem některé legitimní podpisy nemusí fungovat.

Dále plat, že byste neměli instalovat programy z neznámých zdrojů nebo webů. Neklikejte na odkazy a neotvírejte neznámé přílohy e-mailů.

Odebírat
Upozornit na
guest
0 Komentářů
Inline Feedbacks
View all comments
Obrázek: Klávesnice k PC nemusí být černá: Bláznivé modely Logitech POP Keys vypadají skvěle
Klávesnice k PC nemusí být černá: Bláznivé modely Logitech POP Keys vypadají skvěle
Obrázek: Český IceWarp konkuruje Googlu i Microsoftu: Nabízí alternativy k Office a ZOOMu
Český IceWarp konkuruje Googlu i Microsoftu: Nabízí alternativy k Office a ZOOMu
Obrázek: Nejlepší fotomobil? Řada P50 Pro přinese na český trh to nej
Nejlepší fotomobil? Řada P50 Pro přinese na český trh to nej
Obrázek: Apple po metaverzu netouží – proč taky?
Apple po metaverzu netouží – proč taky?
Obrázek: Jak probíhají podvody v internetových bazarech? Příběh čtenářky, která přišla o tisíce
Jak probíhají podvody v internetových bazarech? Příběh čtenářky, která přišla o tisíce
Obrázek: Pozor na podvody na Bazoši a Sbazaru: Peníze na bankovní kartu vám nikdo nepošle
Pozor na podvody na Bazoši a Sbazaru: Peníze na bankovní kartu vám nikdo nepošle
Obrázek: Česko je oblíbeným terčem kybernetických útoků. Počet hrozeb poroste i v roce 2022
Česko je oblíbeným terčem kybernetických útoků. Počet hrozeb poroste i v roce 2022
Obrázek: Co se starým PC a notebookem? Vyrobte si rychlý Chromebook, nebo síťový disk s filmy
Co se starým PC a notebookem? Vyrobte si rychlý Chromebook, nebo síťový disk s filmy