Νέο κακόβουλο λογισμικό μετρά μέχρι στιγμής 2.000 θύματα σε 111 χώρες

Νίκη Παπάζογλου
Μοιράσου το
Νέο κακόβουλο λογισμικό μετρά μέχρι στιγμής 2.000 θύματα σε 111 χώρες
Πώς εξελίσσεται η αλυσίδα μόλυνσης από το νέο κακόβουλο λογισμικό, ονόματι ZLoader.

Περί τα 2.170 θύματα σε 111 χώρες μετρά μέχρι στιγμής το κακόβουλο λογισμικό, ονόματι ZLoader, το οποίο εκμεταλλεύεται την επαλήθευση των ηλεκτρονικών υπογραφών της Microsoft, για να κλέψει ευαίσθητες πληροφορίες των θυμάτων.

Σύμφωνα με την Check Point Research (CPR), εκ των κορυφαίων παρόχων λύσεων ασφάλειας στον κυβερνοχώρο για επιχειρήσεις και κυβερνήσεις, το κακόβουλο λογισμικό είναι ένα τραπεζικό trojan που χρησιμοποιεί web injection για να κλέψει cookies, κωδικούς πρόσβασης και οποιαδήποτε άλλη ευαίσθητη πληροφορία.

Το ZLoader δεν είναι εντελώς καινούργιο. Έχει μπει στο ραντάρ της CISA ήδη από τον Σεπτέμβριο του 2021 ως μέθοδος που ευθύνεται για τη διανομή του ransomware Conti. Τότε η η Microsoft είχε δηλώσει ότι οι χειριστές του ZLoader αγόραζαν διαφημίσεις με λέξεις-κλειδιά της Google για να διανέμουν διάφορα στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένου του ransomware Ryuk.

Την τρέχουσα περίοδο ωστόσο, κάνει την επανεμφάνισή του, έχοντας ήδη στοχεύσει περισσότερα από 2.000 θύματα σε 111 χώρες. Σύμφωνα με την Check Point, η εγκληματική ομάδα του κυβερνοχώρου που βρίσκεται πίσω από το ZLoader είναι η MalSmoke.

Η αλυσίδα μόλυνσης

Βάσει της έκθεσης της Chekc Point που περιγράφει λεπτομερώς την επανεμφάνιση του ZLoader, η αλυσίδα μόλυνσης εξελίσσεται κάπως έτσι:

alysida molynsis
  1. Η επίθεση ξεκινά με την εγκατάσταση νόμιμου προγράμματος απομακρυσμένης διαχείρισης που προσποιείται ότι είναι εγκατάσταση Java
  2. Μετά από αυτή την εγκατάσταση, ο δράστης έχει πλήρη πρόσβαση στο σύστημα και μπορεί να ανεβάζει/κατεβάζει αρχεία και επίσης να εκτελεί σενάρια, οπότε ο επιτιθέμενος ανεβάζει και εκτελεί μερικά σενάρια που κατεβάζουν περισσότερα σενάρια που εκτελούν το mshta.exe με το αρχείο appContast.dll ως παράμετρο
  3. Το αρχείο appContast.dll είναι υπογεγραμμένο από τη Microsoft, παρόλο που στο τέλος του αρχείου έχουν προστεθεί περισσότερες πληροφορίες
  4. Οι πρόσθετες πληροφορίες κατεβάζουν και εκτελούν το τελικό ωφέλιμο φορτίο Zloader, υποκλέπτοντας διαπιστευτήρια χρήστη και προσωπικές πληροφορίες από τα θύματα

Μέχρι στιγμής, τα περισσότερα θύματα κατοικούν στις Ηνωμένες Πολιτείες, ακολουθούν ο Καναδάς και η Ινδία.

ZLoader victims

«Οι άνθρωποι πρέπει να γνωρίζουν ότι δεν μπορούν να εμπιστεύονται αμέσως την ψηφιακή υπογραφή ενός αρχείου. Αυτό που βρήκαμε ήταν μια νέα καμπάνια του ZLoader που εκμεταλλεύεται την επαλήθευση της ψηφιακής υπογραφής της Microsoft για να κλέψει ευαίσθητες πληροφορίες των χρηστών. Αρχίσαμε να βλέπουμε για πρώτη φορά στοιχεία της νέας εκστρατείας γύρω στον Νοέμβριο του 2021. Οι επιτιθέμενοι, στους οποίους αποδίδουμε την επίθεση είναι οι MalSmoke, οι οποίοι επιδιώκουν την κλοπή διαπιστευτηρίων χρηστών και προσωπικών πληροφοριών από τα θύματα. Μέχρι στιγμής, έχουμε μετρήσει πάνω από 2.170 θύματα σε 111 χώρες και συνεχίζουμε. Συνολικά, φαίνεται ότι οι δράστες της εκστρατείας Zloader καταβάλλουν μεγάλη προσπάθεια για την αποφυγή του εντοπισμού και εξακολουθούν να ενημερώνουν τις μεθόδους τους σε εβδομαδιαία βάση. Προτρέπω τους χρήστες να εφαρμόσουν την ενημέρωση της Microsoft για αυστηρή επαλήθευση Authenticode, καθώς δεν είναι εγκατεστημένο από προεπιλογή» δήλωσε σχετικά ο Kobi Eisenkraft, Malware Researcher της Check Point.

Συμβουλές ασφαλείας

Για μεγαλύτερη προστασία από το εν λόγω κακόβουλο λογισμικό η Check Point προτείνει τις παρακάτω συμβουλές ασφαλείας.

  1. Εφαρμόστε την ενημερωμένη έκδοση της Microsoft για αυστηρή επαλήθευση Authenticode. Δεν εφαρμόζεται από προεπιλογή.
  2. Μην εγκαθιστάτε προγράμματα από άγνωστες πηγές ή τοποθεσίες.
  3. Μην ανοίγετε συνδέσμους και άγνωστα συνημμένα αρχεία που λαμβάνετε μέσω ταχυδρομείου.

Ακολουθήστε το insider.gr στο Google News και μάθετε πρώτοι όλες τις ειδήσεις από την Ελλάδα και τον κόσμο.

Διαβάστε ακόμη

Κούκου (Check Point): 500 κυβερνοεπιθέσεις την εβδομάδα δέχεται ένας οργανισμός στην Ελλάδα - Αναγκαίες οι σχετικές επενδύσεις

Στη Westnet η διάθεση των λύσεων της Check Point για προστασία από κυβερνοεπιθέσεις

Kaspersky: Οι fans του Spider-Man στον ιστό των κυβερνοεγκληματιών

Όλες οι ειδήσεις

23:56

Ένωση Αστυνομικών: Δέσμη προτάσεων μετά από τον πυροβολισμό 16χρονου στο κεφάλι

23:37

Μενίδι: Επεισόδια με Ρομά για τον πυροβολισμό 16χρονου - Πυρπολήθηκε λεωφορείο

23:24

Περού: Ορκίστηκε στο Κογκρέσο η νέα προέδρος Ντίνα Μπολουάρτε

23:09

Wall Street: Πέμπτη συνεχή ημέρα απωλειών ο S&P 500 με την ύφεση να «σκιάζει» τις αγορές

22:51

Ουάσινγκτον: Ο Πούτιν δείχνει «ανεύθυνος» μιλώντας «επιπόλαια» για τα πυρηνικά όπλα

22:39

ΗΠΑ: Ισχυρή αύξηση στον καταναλωτικό δανεισμό τον Οκτώβριο

22:14

Ukrenergo: Πάνω από 1.000 πυραύλους και ρουκέτες έχει δεχτεί το ουκρανικό ηλεκτρικό δίκτυο αλλά ακόμα λειτουργεί

22:08

Πετρέλαιο: Η ενίσχυση των αποθεμάτων καυσίμων έριξε τις τιμές - «Άγγιξαν» χαμηλό έτους WTI και brent

22:01

Συρίγος για ελληνοτουρκικά: «Φοβάμαι το λάθος» - Πόσο πιθανό είναι ένα «θερμό επεισόδιο»

21:49

Κρυπτονομίσματα: «Καμπανάκι» ΕΚΤ - «Πολλαπλές φούσκες που σκάνε η μία μετά την άλλη»

21:38

Σαμαράς: Η παράταξη οφείλει να δώσει ενωμένη την εκλογική μάχη

21:27

Περού: Το Κογκρέσο υπερψήφισε την καθαίρεση του προέδρου Καστίγιο - Τελεί υπό κράτηση

21:18

Κλειστή η παλαιά εθνική οδός Θεσσαλονίκης-Βέροιας: Οδοφράγματα Ρομά για τον πυροβολισμό του 16χρονου

21:15

Μενέντεζ: «Δεν θα εγκρίνω την πώληση F-16 στην Τουρκία όσο ο Ερντογάν συνεχίζει τις παραβιάσεις»

21:11

Δήμαρχος Κιέβου: Πιθανό ένα σενάριο «Αποκάλυψης» αυτόν τον χειμώνα, αλλά να μην επικρατήσει πανικός

20:57

Πώς θα είναι η παγκόσμια οικονομία το 2075: Η ανάλυση της Goldman Sachs - Oι 4 τάσεις

20:54

Χρυσός: Ανοδικά για 2η σερί ημέρα αλλά παρέμεινε κάτω από τα 1.800 δολάρια

20:39

Γερμανία: «Βαθιά ανησυχία» εκφράζει ο ομοσπονδιακός πρόεδρος για τη δράση των «Πολιτών του Ράιχ»

20:21

Μελόνι: Δεν τα έχουμε βάλει με τον ρωσικό λαό, τον πολιτισμό ή την ιστορία του

20:18

Καραγιάννης: Ξεκινούν οι εργασίες στο πρώτο κομμάτι του ΒΟΑΚ - Έχουμε να κάνουμε με έργα, όχι με «τα ψεύτικα τα λόγια τα μεγάλα»

20:07

ΕΕ: 9ο πακέτο κυρώσεων σε βάρος της Ρωσίας - Τι περιλαμβάνει

19:57

Με κάτι λιγότερο από ένα δισ. η ΕΚΤ κρατάει -ακόμα- υπό «προστασία» τα ελληνικά ομόλογα

19:56

Generali: Πουλά ιταλικό χαρτοφυλάκιο ασφαλειών ζωής 20 δισ. ευρώ

19:42

Κεραμέως: Έχουμε προκηρύξει τις θέσεις για τους διευθυντές όλων των σχολείων της χώρας

19:39

Γεωργιάδης: Nέες επισκέψεις σε σούπερ μάρκετ αύριο για το «καλάθι του νοικοκυριού»

19:33

Μιχαηλίδου: Ευθύνη όλων μας να δημιουργήσουμε μια κοινωνία συμπερίληψης

19:27

Spotify: Το «μυστικό της επιτυχίας» του δισεκατομμυριούχου CEO και συνιδρυτή του

19:15

Στο Ριάντ ο Σι Τζινπίνγκ με στόχο τη σινοαραβική προσέγγιση

19:06

Θεοδωρικάκος για πυροβολισμό 16χρονου: Ο ΣΥΡΙΖΑ επιχειρεί επικίνδυνη ταύτιση με το 2008

18:54

Ευρωαγορές: Δεν ανακόπηκε η πτώση - Επιμένουν οι ανησυχίες για την ύφεση