Hệ thống kiểm soát chữ ký số mã nguồn của Microsoft bị malware Zloader vượt qua dễ dàng

Theo hãng nghiên cứu bảo mật Check Point, nhóm hacker có tên MalSmoke đã triển khai chiến dịch lây nhiễm malware Zloader vào tháng 11/2021. Cho tới nay, chiến dịch này vẫn đang diễn ra và càng ngày càng mở rộng quy mô.

Điểm đáng chú ý là malware có khả năng vượt qua hệ thống kiểm tra chữ ký số mã nguồn của Microsoft. Sau đó, nó triển khai các gói phần mềm độc hại và tính tới thời điểm hiện tại đã đánh cắp thông tin cá nhân của hàng nghìn nạn nhân từ 111 quốc gia.

Zloader (hay còn gọi là Terdot hoặc DELoader) là một malware ngân hàng được phát hiện lần đầu vào năm 2015. Nó có thể đánh cắp thông tin tài khoản và rất nhiều thông tin riêng tư khác từ các hệ thống bị nhiễm.

Gần đây, Zloader còn được dùng để phát tán các loại mã độc khác bao gồm cả ransomware như Ryuk và Egregor.

Lạm dụng phần mềm quản lý từ xa Atera

Trong chiến dịch gần nhất, Zloader lây nhiễm bằng cách phát tán tệp Java.msi dưới dạng một trình cài đặt đã được sửa đổi của Atera.

Atera là một phần mềm quản lý và giám sát từ xa cho doanh nghiệp được sử dụng rộng rãi trong lĩnh vực CNTT. Do vậy, các công cụ diệt virus không đưa ra cảnh báo cho nạn nhân ngay cả khi trình cài đặt đã bị sửa đổi.

Không rõ hacker làm cách nào để lừa nạn nhân tải xuống tập tin chứa mã độc. Tuy nhiên, nhiều khả năng chúng phân phối qua các phần mềm crack hoặc email lửa đảo.

Sau khi được khởi chạy, mã độc sẽ cung cấp quyền truy cập từ xa vào hệ thống cho hacker. Từ đó, hacker có thể thực hiện các tập lệnh và tải lên hoặc tải xuống các tập tin.

Hệ thống kiểm tra chữ ký số mã nguồn của Microsoft bị vượt qua

Điều đáng chú ý trong cụ này đó là hệ thống kiểm tra chữ ký số mã nguồn của Microsoft đã bị vượt qua. Các chuyên gia của Check Point xác nhận rằng file appContast.dll với nhiệm cụ cài đặt Zloader và thay đổi registry có chứa chữ ký mã nguồn hợp lệ. Vì thế, hệ điều hành tin tưởng và cho phép nó thực thi bình thường.

So sánh file DLL đã được sửa với DLL gốc của Atera, các chuyên gia tìm thấy những sửa đổi nhỏ trong checksum và kích thước chữ ký. Tuy nhiên những thay đổi này quá nhỏ để thu hồi hiệu lực của chữ ký nhưng lại đủ để nối thêm dữ liệu vào phần chữ ký của tệp.

Microsoft đã biết về lỗ hổng này từ năm 2012 và gán cho nó các mã theo dõi CVE-2020-1599, CVE-2013-3900 và CVE-2021-0151. Hãng cũng cố gắng phát hành các chính sách xác minh tệp ngày càng chặt chẽ hơn. Tuy nhiên, vì một số lý do mà chúng vẫn bị tắt theo mặc định.

Bạn có thể bật các chính sách chặt chẽ của Microsoft bằng cách thực hiện các bước sau:

• Mở Notepad
• Copy các dòng code sau vào Notepad:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"

• Lưu file Notepad dưới dạng file .reg
• Nhấn đúp vào file vừa lưu để chạy nó

Tính tới ngày 02/01/2022, chiến dịch Zloader mới nhất đã tấn công vào 2.170 hệ thống khác nhau.