{"id":261217,"date":"2022-01-06T00:10:00","date_gmt":"2022-01-05T23:10:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=261217"},"modified":"2023-04-11T07:09:43","modified_gmt":"2023-04-11T05:09:43","slug":"zloader-malware-missbraucht-microsofts-dateisignaturen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/01\/06\/zloader-malware-missbraucht-microsofts-dateisignaturen\/","title":{"rendered":"ZLoader-Malware missbraucht Microsofts Dateisignaturen"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Der Banking-Trojaner ZLoader ist erneut auf dem Vormarsch. Eine neue ZLoader-Malware missbraucht die digitale Signatur\u00fcberpr\u00fcfung von Microsoft zur Verbreitung. Ziel ist es, Benutzerdaten von Tausenden von Opfern aus 111 L\u00e4ndern zu stehlen. Sicherheitsexperten von Check Point vermuten, dass die Gruppe MalSmoke dahintersteckt. Hinweise auf eine neue Kampagne wurden im November 2021 entdeckt.<\/p>\n

<\/p>\n

ZLoader: Verwendet Microsofts Dateisignaturen<\/h2>\n

\"\"Die Sicherheitsforscher von Check Point Research (CPR), beobachten seit einigen Wochen steigende Aktivit\u00e4ten der Malware ZLoader<\/em>. ZLoader ist ein Banking-Trojaner, der Opfer ausspioniert. Das Besondere an der neuen Kampagne ist dabei, dass die Schadsoftware Microsofts Dateisignaturen ausnutzt, um den Anschein von Legitimit\u00e4t zu erwecken. Allerdings wurde das digitale Wasserzeichen zum Signieren von Dateien ver\u00e4ndert.<\/p>\n

Im Jahr 2021 war die Malware ZLoader<\/em> besonders in den Sommermonaten aufgefallen. Damals kauften die Betreiber hinter der Malware, die Gruppe MalSmoke, einige Google-Keyword-Anzeigen, um verschiedene Malware-St\u00e4mme zu verbreiten. Darunter war auch die ber\u00fcchtigte Ryuk Ransomware. Im Zuge der aktuellen Kampagne konnten die Sicherheitsexperten von Check Point bisher \u00fcber 2100 Opfer in 111 L\u00e4ndern identifizieren. Deutschland liegt auf dem sechsten Platz.<\/p>\n

\"ZLoader<\/a>
\nZLoader Infections, Zum Vergr\u00f6\u00dfern klicken<\/p>\n

Die Infektionskette<\/h2>\n

Die Sicherheitsspezialisten von Check Point haben folgende Vorgehensweise bei der Verteilung der Zloader-Malware festgestellt.<\/p>\n

    \n
  1. Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms (von Athera), das vorgibt, eine Java-Installation zu sein.<\/li>\n
  2. Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuf\u00fchren. Der Angreifer l\u00e4dt einige Skripte hoch und f\u00fchrt sie aus. Dies laden weitere Skripte herunter, die eine mshta.exe<\/em> mit der Datei appContast.dll<\/em> als Parameter ausf\u00fchren.<\/li>\n
  3. Die Datei appContast.dll<\/em> wirkt tats\u00e4chlich wie von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugef\u00fcgt wurden.<\/li>\n
  4. Die hinzugef\u00fcgten Informationen laden die endg\u00fcltige ZLoader<\/em>-Nutzlast herunter und f\u00fchren sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.<\/li>\n<\/ol>\n

    Zudem entwickeln die Verantwortlichen die Malware-Kampagne w\u00f6chentlich weiter, um eine effektive Gegenwehr zu erschweren.<\/p>\n

    MalSmoke-Gruppe als Hinterm\u00e4nner<\/h2>\n

    Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, ist davon auszugehen, dass es sich bei den K\u00f6pfen dahinter um die Verantwortlichen von MalSmoke<\/em> handelt.<\/p>\n

    Kobi Eisenkraft, Malware-Forscher bei Check Point, erkl\u00e4rt: \u201eDie Menschen m\u00fcssen wissen, dass sie der digitalen Signatur einer Datei nicht sofort vertrauen k\u00f6nnen. Wir haben eine neue ZLoader-Kampagne gefunden, die Microsofts digitale Signaturpr\u00fcfung ausnutzt, um sensible Informationen von Nutzern zu stehlen. Die ersten Hinweise auf die neue Kampagne wurden im November 2021 entdeckt.<\/p>\n

    Die Angreifer, die Check Point MalSmoke zuordnen, haben es auf den Diebstahl von Benutzeranmeldedaten und privaten Informationen der Opfer abgesehen. Bisher haben die Sicherheitsforscher von Check Point mehr als 2000 Opfer in 111 L\u00e4ndern gez\u00e4hlt, Tendenz steigend.<\/p>\n

    Alles in allem scheinen die Operatoren der ZLoader-Kampagne gro\u00dfe Anstrengungen in die Umgehung der Verteidigung zu stecken und aktualisieren ihre Methoden w\u00f6chentlich. Kobi Eisenkraft empfiehlt den Anwendern dringend, das Microsoft-Update f\u00fcr die strenge Authenticode-Verifizierung zu installieren, da es standardm\u00e4\u00dfig nicht angewendet wird.\" Dies kann durch Import folgender .reg-Datei mit administrativen Berechtigungen erfolgen:<\/p>\n

    Windows Registry Editor Version 5.00\r\n\r\nHKEY_LOCAL_MACHINE\\Software\\Microsoft\\Cryptography\\Wintrust\\Config]\r\n\"EnableCertPaddingCheck\"=\"1\"\r\n[HKEY_LOCAL_MACHINE\\Software\\Wow6432Node\\Microsoft\\Cryptography\\Wintrust\\Config]\r\n\"EnableCertPaddingCheck\"=\"1\"<\/pre>\n
    Check Point hat bereits Microsoft und Atera umgehend \u00fcber die Ergebnisse der Nachforschungen informiert. Die komplette Analyse der aktuellen ZLoader-Kampagne mit weiteren Details zur Vorgehensweise l\u00e4sst sich in diesem Beitrag<\/a> nachlesen.<\/p>\n","protected":false},"excerpt":{"rendered":"
    [English]Der Banking-Trojaner ZLoader ist erneut auf dem Vormarsch. Eine neue ZLoader-Malware missbraucht die digitale Signatur\u00fcberpr\u00fcfung von Microsoft zur Verbreitung. Ziel ist es, Benutzerdaten von Tausenden von Opfern aus 111 L\u00e4ndern zu stehlen. Sicherheitsexperten von Check Point vermuten, dass die Gruppe … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-261217","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261217","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=261217"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/261217\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=261217"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=261217"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=261217"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}