Malware bancario explota la verificación de firma de Microsoft

Esta nueva variante del troyano bancario Zloader aprovecha la vulnerabilidad CVE-2013-3900. A pesar de que esta fue corregida en 2013, desde 2014 el parche tiene carácter opcional y no viene activado por defecto en los sistemas de Microsoft. Esto permite al malware modificar de manera sutil archivos firmados, sin perder la validez de la firma.

Malware bancario

Previamente Zloader había hecho uso de documentos maliciosos, sitios para adultos y anuncios de Google para infectar los sistemas objetivo. En este caso el software de gestión remota de Atera se usa cómo punto de acceso inicial.

Cadena de infección del malware

El software de Atera, que es completamente legítimo, asigna un equipo a una cuenta usando un archivo msi que incluye la dirección de email del usuario. Para tener acceso completo al sistema los atacantes han creado un instalador modificado asociado con una cuenta de correo temporal.

Tras la instalación de Atera se produce la descarga de dos archivos, uno de ellos con la función de modificar los ajustes de Windows Defender. El otro se usa para descargar el resto de los archivos que necesita el troyano. Los archivos descargados modifican otras opciones del sistema operativo para dificultar la detección del malware.

El proceso de instalación del troyano continúa con la ejecución de un archivo dll modificado con un script malicioso. Dicho archivo tiene una firma digital válida de Microsoft, que cómo indicamos se obtiene aprovechando el CVE-2013-3900.

Seguidamente, se producen modificaciones en el registro de Windows. El objeto de estas es desactivar el aviso de ejecución de aplicaciones cómo administrador. Esto permite que todas las aplicaciones se ejecuten con privilegios elevados sin que se produzca ninguna notificación al usuario.

Cadena infección troyano
esquema de la cadena de infección del troyano

Esquema simplificado del proceso de infección. Fuente Check Point Research
Tras completar la descarga y ocultación del troyano en el sistema se producen nuevas modificaciones del registro de Windows para asegurar la persistencia. Para completar este paso se produce una llamada a un proceso con dos archivos dll cómo argumento. Los dos archivos mencionados no se encuentran en el sistema, lo que parece indicar que el malware está aún en proceso de desarrollo.

Consejos de seguridad

Desde Check Point Research se recomienda activar la verificación estricta de firma digital en Windows. Para ello es necesario crear y ejecutar un archivo con extensión .reg y el siguiente contenido:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]

“EnableCertPaddingCheck”=”1”

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]

“EnableCertPaddingCheck”=”1”

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies