新的Zloader活动利用微软的签名验证对用户发起攻击
admin- 首页
- 新闻资讯
- 安全资讯
- 新的Zloader活动利用微软的签名验证对用户发起攻击
新的Zloader活动利用微软的签名验证对用户发起攻击
发布日期:2022-02-26最近的网络安全研究发现,一个被命名为ZLoader的恶意软件正在活跃传播,该恶意软件利用远程监控工具和一个存在 9 年之久的微软数字签名验证漏洞来窃取用户凭据和敏感信息。
ZLoader是一种已知的银行木马,它使用网络注入来窃取cookie、密码和敏感信息。它还与臭名昭著的Conti和Ryuk勒索软件的变体有关。
过去,ZLoader是通过传统的网络钓鱼电子邮件活动和滥用在线广告平台传播的,攻击者购买的广告指向托管恶意软件的看起来合法的网站。
据Check Point称,这项新活动由网络犯罪组织Malsmoke发起,首先安装了Atera 的合法远程管理程序,伪装成Java安装程序。
这为攻击者提供了对目标系统的完全访问权限,使他们能够上传和下载文件并运行其他脚本。其中一个脚本据称以文件appContast.dll为参数运行mshta.exe。
尽管appContast.dll是由微软签名的,但攻击者找到了一种利用该公司的数字签名验证方法向文件添加额外信息的方法。根据Check Point的说法,此信息会下载并运行最终的Zloader有效负载。
意软件研究员Kobi Eisenkraft解释说:“Check Point团队于11月首次发现了该活动。”
他补充道:“人们需要知道他们不能立即信任文件的数字签名。我们发现的是一个新的 ZLoader活动,它利用微软的数字签名验证来窃取用户的敏感信息。”
他说:“总而言之,ZLoader活动作者似乎在防御规避方面付出了巨大努力,并且仍在每周更新他们的方法。我强烈敦促用户应用Microsoft的更新以进行严格的Authenticode验证。它在默认情况下是不应用的。”
用户还被敦促不要安装来历不明的程序,不要点击未经请求的邮件中的链接或打开附件。
目前尚不清楚该活动的具体传播方式,但最大的受害者群体位于美国 (40%),其次是加拿大 (14%) 和印度 (6%)。
上一篇:警惕七大数据安全风险!工信部要求开展数据安全风险信息报送
下一篇:遭到大规模网络攻击!乌克兰国防部、武装部队、银行等网站关闭
相关新闻
- 勒索软件攻击事件为何不断增加
- 全球石油巨头因网络攻击损失超2.5亿元
- 39秒黑客就会攻击一次,每天造成1800万美元的损失
- 施*德电气遭数据勒索:开发平台访问凭证暴露 40GB数据失窃
- 25家跨国企业数据泄露,MOVEit漏洞引发重大安全危机
- 《个人信息保护法》施行三周年,SSL证书筑牢个人信息 “安全堤”
- 数据泄露事件频发 我们如何防患于未然
- 遭勒索攻击后,秘鲁国际银行承认数据泄露
- 一机场集团疑遭勒索软件攻击,旗下13个机场紧急切换备用系统
- 诺*亚正在调查一起数据泄露事件
