Nova versão de vírus engana autenticação de segurança da Microsoft

Nova versão de vírus engana autenticação de segurança da Microsoft -  CanaltechImagem: Canaltech
Uma ameaça digital está explorando os métodos de verificação de assinaturas digitais para roubar dados pessoais e sensíveis de vítimas, já fazendo mais de 2 mil vítimas em 111 países, com 21 delas localizadas no Brasil. As informações são da empresa de segurança Check Point Software.

O malware responsável por este problema é chamado ZLoader, um cavalo de troia bancário controlado pelo grupo de criminosos virtuais Malsmoke que também é usado para disseminar outras ameaças, como os ransomware Ryuk e Conti.

A infecção atual alertada pela Check Point se dá a partir da instalação de uma versão modificada do software Atera na máquina da vítima, um programa que permite o gerenciamento e monitoramento remoto corporativo de empresas, em especial no setor de TI.

O fluxo completo da infecção na nova campanha do Zloader. (Imagem: Divulgação/Check Point Software)

O instalador, além de instalar o software, também modifica privilégios do sistema de programas e scripts comuns para os de administradores, baixando e executando scripts que vão modificando componentes da máquina, até que por fim ele instala o programa mshta.exe com o arquivo assinado oficialmente pela MicrosoftappContast.dll, em uma versão modificada, como parâmetro.

Essa versão modificada do appContas.dll conta com alterações que permitem a execução e roubo de informações pelo Zloader, ao mesmo tempo não revogando a assinatura oficial da Microsoft do arquivo, permitindo assim que o processo criminoso passe despercebido por muitas ferramentas de segurança.

Orientações de segurança

Infecção pela nova campanha do ZLoader por países. (Imagem: Divulgação/Check Point Software)

Mesmo presente em 111 países e com mais de 2 mil casos registrados, a Check Point afirma que existem formas de se prevenir contra essa nova campanha maliciosa do ZLoader. Confira elas a seguir:

  • Aplicar a atualização da Microsoft para verificação rigorosa do Authenticode, que não é implementado por padrão — confira como neste link;
  • Não instalar programas a partir de sites ou fontes desconhecidas;
  • Não clicar em links ou abrir anexos desconhecidos que tenham sido enviados ao usuário por e-mail.