Imagem: Canaltech
O malware responsável por este problema é chamado ZLoader, um cavalo de troia bancário controlado pelo grupo de criminosos virtuais Malsmoke que também é usado para disseminar outras ameaças, como os ransomware Ryuk e Conti.
A infecção atual alertada pela Check Point se dá a partir da instalação de uma versão modificada do software Atera na máquina da vítima, um programa que permite o gerenciamento e monitoramento remoto corporativo de empresas, em especial no setor de TI.
O fluxo completo da infecção na nova campanha do Zloader. (Imagem: Divulgação/Check Point Software)
O instalador, além de instalar o software, também modifica privilégios do sistema de programas e scripts comuns para os de administradores, baixando e executando scripts que vão modificando componentes da máquina, até que por fim ele instala o programa mshta.exe com o arquivo assinado oficialmente pela Microsoft, appContast.dll, em uma versão modificada, como parâmetro.
Essa versão modificada do appContas.dll conta com alterações que permitem a execução e roubo de informações pelo Zloader, ao mesmo tempo não revogando a assinatura oficial da Microsoft do arquivo, permitindo assim que o processo criminoso passe despercebido por muitas ferramentas de segurança.
Orientações de segurança
Infecção pela nova campanha do ZLoader por países. (Imagem: Divulgação/Check Point Software)
Mesmo presente em 111 países e com mais de 2 mil casos registrados, a Check Point afirma que existem formas de se prevenir contra essa nova campanha maliciosa do ZLoader. Confira elas a seguir:
- Aplicar a atualização da Microsoft para verificação rigorosa do Authenticode, que não é implementado por padrão — confira como neste link;
- Não instalar programas a partir de sites ou fontes desconhecidas;
- Não clicar em links ou abrir anexos desconhecidos que tenham sido enviados ao usuário por e-mail.