ZLoader : 11 pays touchés par la nouvelle campagne

Près de 11 pays touchés par la nouvelle campagne ZLoader

Selon les chercheurs de Check Point Software Technologies, le groupe derrière le Malware bancaire ZLoader a lancé de nouvelles attaques touchant près de 11 pays. Dans cette campagne, les cybercriminels utilisent des signatures Microsoft valides pour contourner la sécurité. 

Contourner la sécurité avec des signatures valides

ZLoader est un trojan bancaire particulièrement actif qui a été documenté pour la première fois en 2018. Les acteurs malveillants derrière ce Malware ont depuis lors multiplié les attaques, parfois agressives. En 2020, ZLoader est connu pour ses attaques menées via des fichiers PDF contenant un code permettant d’exécuter une des nombreuses versions du Malware (une vingtaine a été recensée à cette époque). 

ZLoader : 11 pays touchés par la nouvelle campagne

En 2021, le Malware avait désactivé l’antivirus Microsoft Defender pour contourner la sécurité. Cette même année, vers la fin du mois de novembre, une autre version de ZLoader utilise désormais fichiers DLL avec des signatures Microsoft valides. Les fichiers .exe du Malwares sont donc moins susceptibles d’alerter les logiciels de sécurité.

Cette campagne, toujours en cours, touche près de 11 pays. En janvier 2022, le fichier DLL malveillant semble avoir été téléchargé sur 2 170 adresses IP. La plupart des victimes sont localisées en Amérique du Nord (États-Unis, Canada). L’Inde fait aussi partie des plus touchés. 

Utiliser des outils d’administration à distance légitimes

En analysant cette campagne,  les chercheurs de Check Point découvrent que les acteurs de la menace déploient les fichiers .exe par le biais de l’ingénierie sociale. Ils utilisent également des outils d’administration à distance légitime comme Atera pour distribuer le Malware.

Les auteurs ont pris des bibliothèques légitimes et signées sur lesquelles ils ont prélevé des portions de codes. Ces dernières ont été manipulées de sorte que l’injection des scripts d’attaque n’altère pas la signature.

Cette technique abuse d’anciennes vulnérabilités de la technologie de vérification des signatures de Microsoft qui a déjà publié des correctifs en 2013. Néanmoins, non corrigées, ces vulnérabilités de falsification de longue date permettent aux hackers de contourner les vérifications des signatures.

Selon les chercheurs, « Ces simples modifications apportées à un fichier signé maintiennent la validité de la signature, tout en nous permettant d’ajouter des données à la section de signature d’un fichier ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Pin It on Pinterest