Зловред использует службу электронной подписи Microsoft для кражи паролей

Атака широко известного вредоносного ПО набирает обороты в сети, используя проверку цифровой подписи Microsoft для кражи паролей и другой конфиденциальной информации.

Зловред использует службу электронной подписи Microsoft для кражи паролей. Фото: Pexels

По словам исследователей кибербезопасности из Check Point Research (CPR), которые обнаружили новую кампанию хакеров, в последний раз вредоносная программа ZLoader использовалась для распространения вымогателя Conti несколько месяцев назад.

Однако на этот раз системы заражаются непосредственно ZLoader, а цель кампании — украсть конфиденциальные данные, а не зашифровать устройства.

В CPR объясняют, что в процессе распространения нет ничего необычного. Во-первых, жертва устанавливает программу удаленного управления, «притворяющуюся установкой Java», хотя на самом деле она предоставляет злоумышленникам полный доступ к системе и позволяет им загружать и скачивать файлы, а также запускать сценарии.

Затем злоумышленники «загружают и запускают несколько сценариев, которые загружают дополнительные сценарии, запускающие mshta.exe с файлом appContrast.dll в качестве параметра».

Файл appContrast.dll подписан Microsoft, хотя дополнительная информация была добавлена в конец файла, объясняет в CPR. Эта информация загружает и запускает ZLoad, который крадет пароли и другие конфиденциальные данные.

В CPR утверждают, что вредоносное ПО было установлено более чем на 2 тыс. устройств в 111 странах, при этом большинство жертв находятся в США, Канаде и Индии.

Помимо применения обновления Microsoft для строгой проверки Authenticode, которая не применяется по умолчанию, в Check Point Research также напоминают всем, что нужно быть внимательными при установке программ из неизвестных источников или сайтов. И быть бдительным при переходе по ссылкам или открытии вложений в сообщениях электронной почты, поскольку они часто бывают вредоносными.

Startpack подготовил список популярных и эффективных антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Он содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме