Editor Top
El malware, que ya tiene un impacto en más de 2.000 víctimas, puede modificar un archivo DLL firmado digitalmente por Microsoft, dice Check Point Research.
Imagen: danijelala, Getty Images / iStockPhoto
Una nueva campaña de malware se está aprovechando de una vulnerabilidad en la forma en que Microsoft firma digitalmente un tipo de archivo específico. Como lo describió el miércoles la firma de inteligencia de amenazas cibernéticas Check Point Research, un ataque utilizando el infame malware bancario Zloader tiene como objetivo robar las credenciales de la cuenta y otros datos privados y ya ha infectado 2.170 máquinas únicas que descargaron el archivo DLL malicioso involucrado en el exploit. La mayoría de las víctimas se encuentran en los EE. UU. Y Canadá, pero la campaña ha afectado a más de 100 países, incluidos India, Alemania, Rusia y el Reino Unido.
VER: Política de formación y sensibilización sobre seguridad (TechRepublic Premium)
Atribuyendo el ataque al Mal humo El grupo de ciberdelincuentes, Check Point, dijo que la campaña, que se vio por primera vez a principios de noviembre de 2021, utiliza software legítimo de administración remota para acceder a la máquina objetivo. A partir de ahí, los atacantes explotan el método de verificación de firmas digitales de Microsoft para inyectar su carga útil maliciosa en un archivo DLL de Windows firmado para eludir las defensas de seguridad pasadas.
En concreto, la campaña comienza con la instalación del Software de gestión y supervisión remota Atera en una máquina de destino. Una herramienta remota legítima utilizada por profesionales de TI, el producto de Atera ofrece una prueba gratuita de 30 días para nuevos usuarios, una opción que los atacantes probablemente usarán para obtener el acceso inicial. Una vez que el producto está instalado, los operadores tienen control total del sistema para ejecutar scripts y cargar o descargar archivos.
En la siguiente fase, los atacantes descargan y ejecutan dos archivos maliciosos, uno de los cuales está diseñado para deshabilitar ciertas protecciones en Windows Defender y el otro para cargar el resto del malware. A partir de ahí, un script ejecuta un archivo ejecutable, y ahí es donde los operadores aprovechan un agujero en la verificación de firmas de Microsoft.
Se ejecuta un script malicioso utilizando un archivo llamado appContast.dll, que apunta a un archivo legítimo del sistema de Windows llamado AppResolver.dll como fuente. Tras el análisis, Check Point descubrió que este archivo está firmado por Microsoft con una firma válida. A pesar de esa firma digital, el malware puede agregar un script a este archivo para llevar a cabo el ataque. Esto se debe a que los operadores pudieron agregar datos a la sección de firma del archivo sin cambiar la validez de la firma en sí.
Cadena de infección simplificada.
Imagen: Investigación de Check Point
Irónicamente, Microsoft había emitido una solución para este exploit en 2013, como se documenta en los siguientes CVE: CVE-2020-1599, CVE-2013-3900 y CVE-2012-0151. Esta corrección se diseñó para resolver una vulnerabilidad en la forma en que los archivos ejecutables portátiles (PE) se validan mediante firmas digitales. Pero después de determinar que la solución podría afectar el software existente, la compañía la cambió de una actualización estricta a una que era opt-in. Como la solución está deshabilitada de forma predeterminada, es probable que muchas organizaciones sigan siendo vulnerables.
«Lanzamos una actualización de seguridad (CVE-2013-3900) en 2013 para ayudar a mantener a los clientes protegidos de la explotación de esta vulnerabilidad», dijo un portavoz de Microsoft a TechRepublic. «Los clientes que apliquen la actualización y habiliten la configuración indicada en el aviso de seguridad estarán protegidos. La explotación de esta vulnerabilidad requiere comprometer la máquina de un usuario o convencer a la víctima de que ejecute un archivo PE firmado especialmente diseñado».
Para ayudarlo a protegerse a sí mismo y a su organización contra este exploit en particular, Check Point le aconseja que aplique Actualización de Microsoft para una verificación estricta de Authenticode.
«La gente necesita saber que no puede confiar inmediatamente en la firma digital de un archivo», dijo el investigador de malware de Check Point, Kobi Eisenkraft. «En general, parece que los autores de la campaña de Zloader pusieron un gran esfuerzo en la evasión de la defensa y todavía están actualizando sus métodos semanalmente. Insto encarecidamente a los usuarios a que apliquen la actualización de Microsoft para una verificación estricta de Authenticode. No se aplica de forma predeterminada».
