利用 Microsoft 签名验证的新 Zloader 银行恶意软件活动

一个正在进行的ZLoader恶意软件活动已被发现，该活动利用远程监控工具和一个与微软数字签名验证相关的 9 年漏洞来窃取用户凭据和敏感信息。

自 2021 年 11 月以来，以色列网络安全公司 Check Point Research 一直在跟踪复杂的感染链，并将其归因于一个名为MalSmoke的网络犯罪组织，理由是与之前的攻击有相似之处。

“感染链中包含的技术包括使用合法的远程管理软件 (RMM) 来获得对目标机器的初始访问权限，”Check Point 的 Golan Cohen 在与黑客新闻分享的一份报告中说。“然后恶意软件利用微软的数字签名验证方法将其有效载荷注入到签名的系统 DLL 中，以进一步逃避系统的防御。”

的核心是银行木马，ZLoader已经采用许多攻击者窃取cookie，密码和其他私人信息，从受害者的机器，更不用提了充当用于分配框架获得恶名孔蒂勒索，根据咨询发布由美国网络安全和基础设施安全局 (CISA) 于 2021 年 9 月发布。

据称，截至 2022 年 1 月 2 日，该活动已在 111 个国家/地区造成 2,170 名受害者，其中大部分受影响的政党位于美国、加拿大、印度、印度尼西亚和澳大利亚。值得注意的是，它将自己包裹在一层层混淆和其他检测规避方法中，以逃避发现和分析。

攻击流程始于诱骗用户安装名为 Atera 的合法企业远程监控软件，使用它上传和下载任意文件以及执行恶意脚本。但是，分发安装程序文件的确切模式仍然未知。

恶意软件

其中一个文件用于向 Windows Defender 添加排除项，而第二个文件继续检索和执行下一阶段的有效负载，包括一个名为“appContast.dll”的 DLL 文件，该文件又用于运行 ZLoader 二进制文件（ “9092.dll”）。

这里突出的是 appContast.dll 不仅由 Microsoft 使用有效签名进行签名，而且该文件最初是一个应用程序解析器模块（“AppResolver.dll”），已被调整并注入恶意脚本以加载最后阶段的恶意软件。

这是通过利用跟踪为CVE-2013-3900的已知问题（一种 WinVerifyTrust 签名验证漏洞）实现的，该漏洞允许远程攻击者通过对文件进行足够细微的更改而通过特制的便携式可执行文件执行任意代码，而不会撤销电子签名。

尽管微软在 2013 年解决了这个错误，但该公司在 2014 年 7 月修改了其计划，不再“在受支持的 Microsoft Windows 版本上将更严格的验证行为作为默认功能强制执行”，并将其作为可选功能提供。 “换句话说，默认情况下禁用此修复程序，这使恶意软件作者能够修改签名文件，”科恩说。

Check Point 恶意软件研究员 Kobi Eisenkraft 表示：“似乎 ZLoader 活动的作者在防御规避方面付出了巨大的努力，并且仍在每周更新他们的方法，”他敦促用户不要安装来自未知来源的软件，并遵守微软的严格要求。可执行文件的Windows Authenticode 签名验证。