Zloader: O malware que já fez mais de 2000 vítimas em 111 países

Ao longo dos anos a área do cibercrime tem aumentado significativamente. Os ataques cibernéticos multiplicam-se e os estragos são mais que muitos (muita das vezes irrecuperáveis).

De acordo com informações recentes, os cibercriminosos têm utilizado a Microsoft para roubar dados pessoais de mais de 2000 vítimas.

A Check Point Research (CPR) detetou recentemente uma nova campanha de malware que utiliza a verificação da assinatura digital da Microsoft para roubar credenciais e informações sensíveis. O ataque é atribuído ao grupo de cibercriminosos Malsmoke e tem por base o malware ZLoader, trojan bancário que permite roubar cookies, palavras-passe, entre outros dados.

Cadeia de Infeção do malware Zloader

1. O ataque começa com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java
2. Depois da instalação, o atacante tem acesso total ao sistema, sendo capaz de carregar e descarregar ficheiros, bem como executar scripts. Assim, o atacante carrega e executa scripts que descarregam mais scripts que, por sua vez, executam o software mshta.exe com o ficheiro appContast.dll como parâmetro.
3. O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro
4. A informação adicionada descarrega e executa o payload Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas

ZLoader de seu nome, o malware já soma mais de 2 000 vítimas em 111 países. O ZLoader é um trojan bancário que recorre a web injection, uma técnica que, através da injeção de código malicioso, permite roubar cookies, passwords e quaisquer outras informações sensíveis.

Conhecido por distribuir malware, o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos EUA, no âmbito da investigação relativa à disseminação do ransomware Conti.