[English]Der Banking-Trojaner ZLoader ist erneut auf dem Vormarsch. Eine neue ZLoader-Malware missbraucht die digitale Signaturüberprüfung von Microsoft zur Verbreitung. Ziel ist es, Benutzerdaten von Tausenden von Opfern aus 111 Ländern zu stehlen. Sicherheitsexperten von Check Point vermuten, dass die Gruppe MalSmoke dahintersteckt. Hinweise auf eine neue Kampagne wurden im November 2021 entdeckt.
Anzeige
ZLoader: Verwendet Microsofts Dateisignaturen
Die Sicherheitsforscher von Check Point Research (CPR), beobachten seit einigen Wochen steigende Aktivitäten der Malware ZLoader. ZLoader ist ein Banking-Trojaner, der Opfer ausspioniert. Das Besondere an der neuen Kampagne ist dabei, dass die Schadsoftware Microsofts Dateisignaturen ausnutzt, um den Anschein von Legitimität zu erwecken. Allerdings wurde das digitale Wasserzeichen zum Signieren von Dateien verändert.
Im Jahr 2021 war die Malware ZLoader besonders in den Sommermonaten aufgefallen. Damals kauften die Betreiber hinter der Malware, die Gruppe MalSmoke, einige Google-Keyword-Anzeigen, um verschiedene Malware-Stämme zu verbreiten. Darunter war auch die berüchtigte Ryuk Ransomware. Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher über 2100 Opfer in 111 Ländern identifizieren. Deutschland liegt auf dem sechsten Platz.
ZLoader Infections, Zum Vergrößern klicken
Die Infektionskette
Die Sicherheitsspezialisten von Check Point haben folgende Vorgehensweise bei der Verteilung der Zloader-Malware festgestellt.
Anzeige
- Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms (von Athera), das vorgibt, eine Java-Installation zu sein.
- Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. Der Angreifer lädt einige Skripte hoch und führt sie aus. Dies laden weitere Skripte herunter, die eine mshta.exe mit der Datei appContast.dll als Parameter ausführen.
- Die Datei appContast.dll wirkt tatsächlich wie von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugefügt wurden.
- Die hinzugefügten Informationen laden die endgültige ZLoader-Nutzlast herunter und führen sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.
Zudem entwickeln die Verantwortlichen die Malware-Kampagne wöchentlich weiter, um eine effektive Gegenwehr zu erschweren.
MalSmoke-Gruppe als Hintermänner
Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, ist davon auszugehen, dass es sich bei den Köpfen dahinter um die Verantwortlichen von MalSmoke handelt.
Kobi Eisenkraft, Malware-Forscher bei Check Point, erklärt: „Die Menschen müssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen können. Wir haben eine neue ZLoader-Kampagne gefunden, die Microsofts digitale Signaturprüfung ausnutzt, um sensible Informationen von Nutzern zu stehlen. Die ersten Hinweise auf die neue Kampagne wurden im November 2021 entdeckt.
Die Angreifer, die Check Point MalSmoke zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben die Sicherheitsforscher von Check Point mehr als 2000 Opfer in 111 Ländern gezählt, Tendenz steigend.
Alles in allem scheinen die Operatoren der ZLoader-Kampagne große Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden wöchentlich. Kobi Eisenkraft empfiehlt den Anwendern dringend, das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmäßig nicht angewendet wird." Dies kann durch Import folgender .reg-Datei mit administrativen Berechtigungen erfolgen:
Windows Registry Editor Version 5.00 HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"
Check Point hat bereits Microsoft und Atera umgehend über die Ergebnisse der Nachforschungen informiert. Die komplette Analyse der aktuellen ZLoader-Kampagne mit weiteren Details zur Vorgehensweise lässt sich in diesem Beitrag nachlesen.
Anzeige
Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms (von Athera), das vorgibt, eine Java-Installation zu sein.
Da kann man schon aufhören zu lesen
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\…
AUTSCH: nur völlig ahnungslose Volltrottel missbrauchen die reservierten Schlüssel WoW6432Node bzw. WowAA32Node!
Siehe https://msdn.microsoft.com/en-us/library/ms724072.aspx sowie https://msdn.microsoft.com/en-us/library/aa384129.aspx: "Die Schlüssel Wow6432Node und WowAA32Node sind reserviert. Aus Kompatibilitätsgründen sollten Anwendungen diese Schlüssel nicht direkt verwenden."
Alle nicht bescheuerten Windows-Missbraucher führen *.REG jeweils mit dem 32- und dem 64-bittigen REGEDIT.exe bzw. REG.exe zusammen, rufen REG.exe mit der Option /REG:{ 64 | 32 } auf, oder verwenden eine *.INF
Die Schlauen bauen eine GPO… (und testen erstmal!)