ZLoader, troyano en campaña que alcanza en ataque a 111 países

El malware ZLoader reportado por CPR aprovecha una vulnerabilidad en la firma de Microsoft para distribuir ransomware y otras infecciones.

En septiembre de 2021, ZLoader se reveló como una amenaza de importancia. por ser un medio de distribución del ransomware Conti. 

Hoy, Check Point Research (CPR), la división de Inteligencia de Amenazas de Check Point Software Technologies ha observado una nueva campaña de malware que aprovecha la verificación de la firma digital de Microsoft para robar información sensible de las víctimas. 

El resurgimiento de ZLoader se atribuye al grupo de ciberdelincuentes MalSmoke y ya ha cobrado más de 2.000 víctimas en 111 países. 

Según los especialistas de Check Point Research, este troyano bancario utiliza la inyección web para robar: 

• Cookies
• Contraseñas 
• Y cualquier otro dato sensible

Parte del descubrimiento fue posible pues los especialistas de CPR detectaron que los operadores de ZLoader estaban comprando anuncios de palabras clave de Google para distribuir varias cepas de malware, incluido el ransomware Ryuk. 

Malware madrugador, cadena de la infección

Kobi Eisenkraft, Malware Researcher de Check Point Software señala lo que se ha detectado, hasta ahora, de ZLoader. 

1. El ataque comienza con la instalación de un programa legítimo de gestión remota que se hace pasar por una instalación de Java.
2. Tras esta instalación, el ciberdelincuente tiene acceso completo al sistema y es capaz de cargar/descargar archivos y también ejecutar scripts, por lo que carga y ejecuta unos scripts que descargan más scripts que ejecutan mshta.exe con el archivo appContast.dll como parámetro.
3. El archivo appContast.dll está firmado por Microsoft, aunque se ha añadido más datos al final del archivo.
4. La información añadida descarga y ejecuta la carga útil final de Zloader, robando credenciales de usuario y documentación privada de las víctimas.

Consejos de seguridad

Del mismo modo, los especialistas de CPR enumeran los primeros auxilios para evitar estas y futuras campañas. 

1. Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
2. No instalar programas de fuentes o sitios desconocidos.
3. No pulsar sobre enlaces ni abrir archivos adjuntos desconocidos que se reciban por correo.