利用Microsoft签名验证的新Zloader银行恶意软件活动

一个正在进行的ZLoader恶意软件活动已经被发现，它利用远程监控工具和一个关于微软数字签名验证的九年漏洞窃取用户凭据和敏感信息。

以色列网络安全公司“检查点研究”自2021年11月以来一直在追踪复杂的感染链，将其归咎于网络犯罪组织，称之为“MalFug”，理由是与先前的袭击相似。

Check Point的戈兰·科恩在与《黑客新闻》分享的一份报告中说：“感染链中包含的技术包括使用合法的远程管理软件（RMM）来获得对目标机器的初始访问权。”。“然后，该恶意软件利用微软的数字签名验证方法将其有效载荷注入已签名的系统DLL，以进一步规避系统的防御。”

A banking trojan at its core, ZLoader has been employed by many an attacker to steal cookies, passwords, and other private information from victims' machines, not to mention gaining notoriety for acting as a distribution framework for Conti ransomware, according to an advisory published by the U.S. Cybersecurity and Infrastructure Security Agency (CISA) in September 2021.

据报道，截至2022年1月2日，这场运动已在111个国家造成2170名受害者，其中大多数受影响方位于美国、加拿大、印度、印度尼西亚和澳大利亚。它还值得注意的是，它将自己包裹在一层层模糊和其他逃避检测的方法中，以逃避发现和分析。

攻击流程始于诱骗用户安装名为Atera的合法企业远程监控软件，使用该软件上载和下载任意文件以及执行恶意脚本。然而，分发安装程序文件的确切方式仍然未知。

其中一个文件用于向Windows Defender添加排除，而另一个文件用于检索和执行下一阶段的有效载荷，包括名为“appContast.DLL”的DLL文件，该文件反过来用于运行ZLoader二进制文件（“9092.DLL”）。

这里最突出的是appContast。dll不仅由Microsoft使用有效的签名进行签名，而且该文件最初是一个应用程序解析器模块（“AppResolver.dll”），已被调整并注入恶意脚本以加载最终阶段的恶意软件。

这是通过利用CVE-2013-3900—；WinVerifyTrust签名验证漏洞—；这使得远程攻击者能够通过特制的可移植可执行文件执行任意代码，对文件进行足够微妙的更改，而不会撤销数字签名的有效性。

尽管微软在2013年解决了该漏洞，但该公司在2014年7月修订了计划，不再“在受支持的Microsoft Windows版本上强制执行更严格的验证行为作为默认功能”，并将其作为一项选择加入功能提供。科恩说：“换句话说，这个补丁在默认情况下是禁用的，这使恶意软件作者能够修改签名文件。”。

Check Point恶意软件研究人员Kobi Eisenkraft说：“ZLoader活动的作者似乎在防御规避方面付出了巨大努力，并且仍在每周更新他们的方法。”，敦促用户不要安装来自未知来源的软件，并对可执行文件应用Microsoft严格的Windows Authenticode签名验证。