Malsmoke组织的一项活动利用Microsoft电子签名验证工具导致2100多人受害。

安全研究人员观察到一项新的活动——攻击者滥用Microsoft电子签名验证来部署Zloader，这是一种旨在窃取用户凭据和私人信息的银行恶意软件。

根据Check Point Research团队的说法，该活动于2021年11月初被发现。他们说，截至1月2日，全球有2170个受害者下载了恶意DLL文件。大多数受害者位于美国（864），加拿大（305）和印度（140）。其中大约三分之一是企业，少量与教育和政府有关，其余的是个人。

Zloader不是一种新形式的恶意软件，类似的攻击以前曾以多种形式出现过。研究人员表示，2020年看到的早期Zloader使用的是恶意文件通过成人网站和Google广告来攻击目标系统的。

在这里，攻击操作员似乎特别关注“规避技术”。他们使用合法的远程管理软件 （RMM） 获得对目标计算机的初始访问权限，并在仍保持签名有效性的同时向文件的签名中添加代码，然后使用 mshta.exe运行它。

Check Point的恶意软件研究员Kobi Eisenkraft解释说：“这是我们第一次注意到Zloader利用微软的数字签名验证方法将其有效载荷注入已签名的系统DLL中，这进一步逃避了系统的防御。”

在早期的Zloader活动中，感染始于在目标计算机上安装 Atera 软件。Atera是合法的企业RMM软件，可以安装代理并将端点分配给具有包含所有者电子邮件地址的.msi文件的特定帐户。攻击者使用临时电子邮件地址执行此操作，并且将下载的文件伪装成Java安装包。

但现在，Eisenkraft表示，该团队不确定攻击者是如何在这次活动中将Atera部署到受害者设备上的。

在早期的Zloader活动中，运营商通过播放成人电影的一部分来引诱受害者——几秒钟后，视频停止了，一条消息说他们的Java需要更新。他解释说，人们被提示下载一个“Java”安装，这是Atera的试用版，只要人们下载更新，攻击者就能够将文件发送到机器并运行它们。

软件进入机器后，攻击者使用“运行脚本”功能将两个.bat文件上传到设备上并运行。一个用于修改Windows Defender首选项，另一个用于加载其余的恶意软件。在此阶段，脚本会向 Windows Defender 添加排除项，并禁用可用于检测和调查的工具。

然后，该脚本运行 mshta[。]exe with appContast[.]dll 作为参数。研究人员注意到此文件由Microsoft使用有效签名进行部署，通过比较这两个文件，他们发现攻击者已将恶意DLL的脚本添加到文件中。

“这些对签名文件的简单修改保持了签名的有效性。”Check Point团队在调查结果的技术文章中解释说。在此活动中，添加的信息允许攻击者下载并运行Zloader有效负载。

他们指出，这是CVE-2020-1599，CVE-2013-3900和CVE-2012-0151中提到的安全漏洞的结果。

Microsoft 在 2013年安全公告中解决了签名验证问题，并推动了修复程序。但该团队写道，2014年7月，他们将更严格的文件验证换成了选择加入的更新。除非有人手动安装了修补程序，否则他们不会受到保护。Eisenkraft解释说，许多安全供应商会让恶意签名文件运行，因为它具有来自Microsoft的有效数字签名。

Eisenkraft表示，攻击者似乎并没有追求任何特定类型的数据。大多数密码和敏感信息都遭到了损害。

Check Point将11月的战役归因于Malsmoke。Eisenkraft说，这是研究人员第一次看到该组织滥用微软的数字签名，他们注意到此次事件与早期的Malsmoke活动有相似之处。众所周知，它以前的攻击也是将恶意软件伪装成Java插件。（本文出自SCA安全通信联盟，转载请注明出处。）