به گزارش کارگروه حملات سایبری سایبربان؛ محققین شرکت امنیت سایبری اسرائیلی چک پوینت از یک کمپین بدافزاری جدید پرده برداری کرد که از اوایل نوامبر 2021 آغاز شده است.
این کمپین بدافزاری همچنان فعال است و بازیگران مخرب از 2 ژوئن 2022 تا به الان داده های احراز هویت بیش از 2000 قربانی در 111 کشور را به سرقت برده اند.
Zloader (زد لودر) بدافزار بانکی است که دست کم از 2016 فعالیت دارد.
این زنجیره حملات با افزایش سطح دسترسی به نرم افزار مدیریت راه دور و دسترسی اولیه به سیستم هدف آغاز می شود. زنجیره آلوده سازی نیز با نصب نرم افزار Atera (آتِرا) بر روی دستگاه قربانی استارت زده می شود. آترا یک نرم افزار نظارت و مدیریت راه دور است که می تواند با استفاده از یک فایل .msi منحصر به فرد حاوی نشانی ایمیل قربانی و نصب ایجنت، نقاط انتهایی را به یک حساب خاص محول کند.
مهاجمین این نصب کننده را با استفاده از یک نشانی ایمیل موقت ایجاد کردند:
این بدافزار سپس با بهره برداری از روش تایید امضای دیجیتال مایکروسافت، پی لود خود را به منظور شناسایی نشدن به فایل DLL امضا شده سیستم تزریق می کند.
بازیگران مخرب از آسیب پذیری (CVE-2013-3900) بهره برداری می کنند که در سال 2013 کشف و اصلاح شده بود. مایکروسافت نیز در سال 2014 نسخه اصلاحیه ای را برای آن منتشر کرده بود.
مهاجمینی که موفق به بهره برداری از این آسیب پذیری می شدند می توانستند کنترل کامل سیستم آلوده را به دست بگیرند.
متخصصین در حین بررسی های خود، دایرکتوری های بازی را در teamworks455[.]com شناسایی کردند که برخی از فایل های دانلود شده در کمپین را در اختیار داشت. عاملین این بدافزار هر چند روز یک بار این فایل ها را تغییر می دهند. محققین می توانند با بررسی فایل، لیست و جزئیات اهداف تحت الشعاع قرار گرفته و آن ها را مشخص کنند.
اکثر سیستم های مورد هدف قرار گرفته در آمریکا، کانادا، استرالیا، هند و اندونزی استقرار دارند.
متخصصین امنیتی، این حمله را به گروه جرم سایبری MalSmoke (مَل اِسموک) ارتباط داده اند.
