Check Point alerta para software malicioso que rouba credenciais
A Check Point Research (CPR) alertou hoje para uma nova campanha de 'software' malicioso ('malware') ZLoader, que rouba as credenciais dos utilizadores e informações sensíveis e já soma "mais de 2.000 vítimas em 111 países".
© iStock
Tech Segurança
Em comunicado, a CPR, área de 'Threat Intelligence' da Check Point Software Tecnologies, que opera na área da cibersegurança, "alerta para uma nova campanha de 'malware' que esta a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis".
De acordo com a empresa, "ZLoader de seu nome, o 'malware' já soma mais de 2.000 vítimas em 111 países", sendo que a CPR atribui a campanha maliciosa, datada de novembro passado, ao grupo Malsmoke, "que tem feito um grande esforço para aprimorar as suas técnicas evasivas".
O ZLoader é conhecido por ser uma ferramenta de disseminação de 'ransomware' ['malware' que sequestra arquivos, encriptam-nos e pedem resgate], incluindo Ryuk e Conti.
"O ZLoader é um 'trojan' bancário que recorre a 'web injection', uma técnica que, através da injeção de código malicioso, permite roubar 'cookies', 'passwords' e quaisquer outras informações sensíveis", explica a CPR.
"Conhecido por distribuir 'malware', o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do 'ransomware' Conti", acrescenta.
De acordo com a CPR, o ataque tem início com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java e, a partir daí, o atacante tem acesso total ao sistema.
"Assim, o atacante carrega e executa 'scripts' que descarregam mais 'scripts' que, por sua vez, executam o 'software' mshta.exe com o ficheiro appContast.dll como parâmetro", explica.
"O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro" e esta informação "descarrega e executa o 'payload' Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas", acrescenta.
Até ao momento, a CPR "tem registo de 2.170 vítimas únicas", sendo que a maioria reside no Estados Unidos, seguido do Canadá e Índia.
""As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores", afirma Kobi Eisenkraft, 'malware researcher' da Check Point, citado no comunicado.
"Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não é implementado automaticamente", salienta o responsável.
Leia Também: Especialistas: Risco de ciberataques a empresas portuguesas é permanente
Descarregue a nossa App gratuita.
Oitavo ano consecutivo Escolha do Consumidor para Imprensa Online e eleito o produto do ano 2024.
* Estudo da e Netsonda, nov. e dez. 2023 produtodoano- pt.com