Selon les chercheurs de Check Point Software Technologies, le groupe derrière le Malware bancaire ZLoader a lancé de nouvelles attaques touchant près de 11 pays. Dans cette campagne, les cybercriminels utilisent des signatures Microsoft valides pour contourner la sécurité.
Contourner la sécurité avec des signatures valides
ZLoader est un trojan bancaire particulièrement actif qui a été documenté pour la première fois en 2018. Les acteurs malveillants derrière ce Malware ont depuis lors multiplié les attaques, parfois agressives. En 2020, ZLoader est connu pour ses attaques menées via des fichiers PDF contenant un code permettant d’exécuter une des nombreuses versions du Malware (une vingtaine a été recensée à cette époque).
En 2021, le Malware avait désactivé l’antivirus Microsoft Defender pour contourner la sécurité. Cette même année, vers la fin du mois de novembre, une autre version de ZLoader utilise désormais fichiers DLL avec des signatures Microsoft valides. Les fichiers .exe du Malwares sont donc moins susceptibles d’alerter les logiciels de sécurité.
Cette campagne, toujours en cours, touche près de 11 pays. En janvier 2022, le fichier DLL malveillant semble avoir été téléchargé sur 2 170 adresses IP. La plupart des victimes sont localisées en Amérique du Nord (États-Unis, Canada). L’Inde fait aussi partie des plus touchés.
Utiliser des outils d’administration à distance légitimes
En analysant cette campagne, les chercheurs de Check Point découvrent que les acteurs de la menace déploient les fichiers .exe par le biais de l’ingénierie sociale. Ils utilisent également des outils d’administration à distance légitime comme Atera pour distribuer le Malware.
Les auteurs ont pris des bibliothèques légitimes et signées sur lesquelles ils ont prélevé des portions de codes. Ces dernières ont été manipulées de sorte que l’injection des scripts d’attaque n’altère pas la signature.
Cette technique abuse d’anciennes vulnérabilités de la technologie de vérification des signatures de Microsoft qui a déjà publié des correctifs en 2013. Néanmoins, non corrigées, ces vulnérabilités de falsification de longue date permettent aux hackers de contourner les vérifications des signatures.
Selon les chercheurs, « Ces simples modifications apportées à un fichier signé maintiennent la validité de la signature, tout en nous permettant d’ajouter des données à la section de signature d’un fichier ».
- Partager l'article :