Cyberprzestępcy ruszyli z nową kampanią, wykorzystującą weryfikację e-podpisu Microsoftu do kradzieży poufnych informacji użytkowników. Wśród pokrzywdzonych są Polacy – ostrzega Check Point Research.

Najwięcej poszkodowanych pochodzi z USA (40 proc.) i Kanady (14 proc.). Użytkowników z Polski jest mniej niż 1 proc.

Eksperci przypisują kampanię grupie cyberprzestępczej MalSmoke, która w nowy sposób wykorzystała trojana ZLoader, znanego pory w atakach na bankowość elektroniczną oraz z dystrybucji ransomware.

„Nie można od razu zaufać podpisowi cyfrowemu pliku” – ostrzega Kobi Eisenkraft, badacz malware’u w Check Point Research.

Jak przebiega atak

Rozpoczyna się od instalacji legalnego programu do zdalnego zarządzania, udającego instalację Javy. Po jej dokonaniu atakujący ma pełny dostęp do systemu i jest w stanie wysyłać i pobierać pliki, a także uruchamiać skrypty.

Atakujący wysyła i uruchamia kilka skryptów, które pobierają kolejne uruchamiające mshta.exe z plikiem appContast.dll jako parametrem. Plik appContast.dll jest podpisany przez Microsoft, ale na jego końcu dodano więcej informacji, co powoduje pobranie i uruchomienie końcowego payloadera Zloader, który wykrada poświadczenia użytkownika i jego prywatne informacje.

Co robić

Check Point rekomenduje aktualizację Microsoftu do ścisłej weryfikacji Authenticode. Nie jest ona stosowana domyślnie.