SécuritéTechWindows

Une faille Windows vieille de 9 ans a été exploitée pour supprimer le malware ZLoader dans 111 pays

La vulnérabilité a été identifiée et corrigée en 2013, mais en 2014, Microsoft a révisé le correctif permettant aux pirates Malsmoke en 2022 de diffuser le malware ZLoader.

La société de cybersécurité basée en Israël Check Point Research évalue une chaîne d’infection sophistiquée depuis novembre 2021. Les chercheurs ont maintenant publié leur rapport, indiquant qu’une nouvelle campagne de malware ZLoader est en cours et a déjà volé les données et les identifiants de plus de 2000 victimes dans 111 pays au 2 janvier 2022.

Dans la nouvelle campagne, les attaquants exploitent des outils de surveillance à distance et une faille vieille de 9 ans dans la vérification de la signature numérique de Microsoft (suivie comme CVE-2013-3900 ) pour voler les mots de passe des utilisateurs et les données personnelles sensibles.

Qu’est-ce que ZLoader ?

ZLoader, comme précédemment rapporté par Hackread.com, est un cheval de Troie bancaire. Il utilise l’injection Web pour voler des mots de passe, des cookies de navigateur et des données utilisateur sensibles et est soupçonné de fournir des variantes de ransomware Ryuk et Conti .

Lors d’incidents antérieurs impliquant ZLoader, le cheval de Troie a été transmis via des campagnes d’e-mail de phishing traditionnelles ainsi qu’en abusant des plateformes de publicité en ligne.

À propos de la campagne

Les utilisateurs aux États-Unis, au Canada, en Australie, en Inde et en Indonésie sont principalement touchés par cette campagne. Selon les chercheurs de Check Point, les logiciels malveillants sont cachés sous plusieurs couches d’obscurcissement et d’autres méthodes de contournement de la détection pour empêcher la découverte.

Une faille Windows vieille de 9 ans a été exploitée pour supprimer le malware ZLoader dans 111 pays

L’attaque commence après que l’attaquant a obtenu l’accès initial en installant un logiciel de surveillance à distance d’entreprise légitime connu sous le nom d’Atera, prétendant être une installation Java. L’attaquant obtient un accès complet au système ciblé.

L’attaquant télécharge/télécharge ensuite des fichiers arbitraires et exécute des scripts malveillants. Ensuite, il exploite le mécanisme de vérification de signature numérique de Microsoft pour injecter la charge utile ZLoader. Cependant, le mode de distribution de cet installateur est encore connu.

« Les techniques intégrées dans la chaîne d’infection incluent l’utilisation d’un logiciel de gestion à distance (RMM) légitime pour obtenir un accès initial à la machine cible. Le malware exploite ensuite la méthode de vérification de signature numérique de Microsoft pour injecter sa charge utile dans une DLL système signée afin d’échapper davantage aux défenses du système », a écrit Golan Cohen de Check Point dans un article de blog .

Vulnérabilité de validation de signature Microsoft exploitée

Les chercheurs de Check Point déclarent que le groupe de cybercriminalité Malsmoke est responsable de la campagne ZLoader nouvellement identifiée. Les attaquants ont exploité une ancienne vulnérabilité de validation de signature WinVerifyTrust , qui permet aux attaquants distants d’exécuter du code arbitraire via des exécutables portables spécialement conçus en modifiant l’extrait de code malveillant sans affecter la validité de la signature.

Microsoft a corrigé le bogue en 2013 mais l’a révisé en juillet 2014, après quoi il a cessé d’appliquer des mécanismes de vérification plus stricts en tant que fonctionnalité par défaut sur les nouvelles versions compatibles de MS Windows.

“En d’autres termes, ce correctif est désactivé par défaut, ce qui permet à l’auteur du malware de modifier le fichier signé”, a ajouté Cohen.

Les utilisateurs doivent faire preuve de prudence, ne jamais essayer d’installer des programmes provenant de sources inconnues ou non officielles et éviter de cliquer sur des liens ou des pièces jointes dans des e-mails suspects.

Leave your vote

Afficher plus

Articles similaires

Bouton retour en haut de la page

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.