Cyberprzestępcy polują na podpis elektroniczny - Polacy wśród ofiar hakerów

Ponad 2 tys. ofiar w 111 krajach w ciągu zaledwie dwóch miesięcy – to efekt aktywności złośliwego oprogramowania ZLoader, wykorzystującego weryfikację podpisu cyfrowego. Wśród pokrzywdzonych znajdują się również polscy użytkownicy.

Cyberprzestępcy polują na podpis elektroniczny
Cyberprzestępcy polują na podpis elektroniczny materiały prasowe

Eksperci z Check Point Research ostrzegają przed kolejną groźną kampanią cyberprzestępczą. Tym razem dotyczy ona weryfikacji podpisu elektrycznego firmy Microsoft. Jak do tej pory jej ofiarami padło ponad 2170 osób ze 111 państw. Najwięcej poszkodowanych pochodzi ze Stanów Zjednoczonych (40 proc.) oraz Kanady (14 proc.). Okazuje się, że wśród ofiar znajdują się również polscy użytkownicy (poniżej 1 proc.).

Badacze bezpieczeństwa przypisują kampanię grupie cyberprzestępczej MalSmoke, która do przeprowadzenia operacji wykorzystała znanego trojana ZLoader. Narzędzie to do tej pory było wykorzystywane w atakach na bankowość elektroniczną, natomiast od września 2021 znajduje się na radarze CISA (amerykańska Agencja Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury) jako dystrybutor ransomware Conti oraz różnych szczepów ransomware Ryuk.

To, co znaleźliśmy, to nowa kampania ZLoader wykorzystująca weryfikację podpisu cyfrowego Microsoftu do kradzieży poufnych informacji użytkowników. Pierwsze dowody na istnienie nowej kampanii zaczęliśmy obserwować około listopada 2021 roku. Napastnicy, których powiązaliśmy z grupą MalSmoke, mają na celu kradzież danych uwierzytelniających oraz prywatnych informacji ofiar. Do tej pory naliczyliśmy ponad 2000 ofiar w 111 krajach.
Kobi Eisenkraft, badacz malware'u w Check Point Research.

Atak rozpoczyna się od instalacji legalnego programu do zdalnego zarządzania, udającego instalację Javy. Po jej dokonaniu atakujący ma pełny dostęp do systemu i jest w stanie wysyłać/pobierać pliki, a także uruchamiać skrypty. Atakujący wysyła i uruchamia kilka skryptów, które pobierają kolejne skrypty uruchamiające mshta.exe z plikiem appContast.dll jako parametrem. Plik appContast.dll jest podpisany przez Microsoft, mimo że na końcu pliku dodano więcej informacji. Dodane informacje powodują pobranie i uruchomienie końcowego payloadera Zloader, który wykrada poświadczenia użytkownika i prywatne informacje ofiar.

Check Point Research poinformowało firmy Microsoft i Atera o swoich ustaleniach. Firma wydała również rekomendację zastosowania aktualizacji Microsoftu do ścisłej weryfikacji Authenticode. Niestety nie jest ona stosowana domyślnie.

Sport i technologia, czyli jak innowacyjne rozwiązania ulepszają nasze treningi