Zloader fa il suo ritorno con una nuova campagna diffusa in 111 paesi e che conta già numerosissime vittime. Ancora una variante del noto malware bancario che era sulle scene nel 2020 e oggi cambia approccio nella sua diffusione. Ma mentre nel passato per infettare i PC sfruttava siti per adulti, documenti malevoli o pubblicità di Google, adesso gli sviluppatori hanno utilizzato un programma di gestione remota del software come vettore virale.
La campagna è stata identificata molto probabilmente ad inizio Novembre 2021 e i numeri dell’attacco parlano chiaro. In uno dei domini estratti dal malware è possibile vedere sia i file usati per l’infezione sia una cartella entry che contiene le vittime di Zloader classificate per paese. Il 2 gennaio 2022 c’erano 2170 indirizzi IP soprattutto appartenenti agli Stati Uniti e al Canada. Inoltre, le date di ultima modifica dei file molto aggiornate lasciano pensare che gli autori stiano pensando a nuove varianti più efficaci.
Il gruppo di ricercatori di Check Point Research ha analizzato la struttura dell’attacco che viene perpetrata da Zloader. Un’analisi simile era stata fatta anche da Malwarebytes due anni fa nel corso della prima campagna. La catena di attacco, piuttosto complessa e macchinosa, inizia con Atera un software per la gestione e il monitoraggio remoto degli endpoint. Atera è in grado di installare un agent tramite un file .msi che è l’innesco del meccanismo di Zloader. Infatti, la procedura di installazione, che emula un programma Java, consente all’attaccante di prendere possesso del PC, potendo caricare e scaricare file di qualsiasi genere.
A partire dall’installer iniziale si procedere con file .bat che escludono le difese di Windows Defender e continuano a caricare il software malevolo a più riprese e con più file. L’aspetto centrale dell’attacco è l’evasione del meccanismo di verifica della firma digitale di Microsoft. Infatti, una delle librerie usate per il funzionamento del malware risulta firmata da Microsoft e con firma valida pur contenendo una porzione di payload aggiuntiva. A questo punto entrano in gioco due meccanismi:
Come è possibile intuire l’evoluzione del malware è estremamente raffinata e gli sviluppatori hanno prestato molta attenzione all’evasione delle difese del sistema. Inoltre, Zloader è in grado di mantenersi attivo nel tempo grazie ad alcune configurazioni che ne garantiscono l’attivazione ad ogni riavvio del sistema.
Gli utenti infettati dal software malevolo si possono trovare esposti alla condivisione di file e documenti personali. Inoltre, essendo attiva la connessione con il server di Comando e Controllo degli attaccanti è di fatto possibile il controllo completo del computer.
Come già anticipato, la campagna ha già diverse vittime e la modalità di attacco risulta simile a quella del gruppo MalSmoke che aveva realizzato un attacco del genere nel 2020.
Al momento l’unico suggerimento per garantire la sicurezza del proprio sistema è installare gli aggiornamenti di Microsoft con una puntuale verifica dell’Authenticode. Il sistema permette, infatti, agli utenti e al sistema operativo di verificare che il codice del programma proviene dal legittimo sviluppatore. Monitoreremo lo svilupparsi della campagna ed eventuali nuove variante di Zloader.