El troyano ZLoader deja víctimas en más de cien países

Una nueva campaña de ciberdelincuencia está aprovechando la verificación de la firma digital de Microsoft para robar información sensible a los usuarios.

En el centro se encuentra el troyano bancario ZLoader, que emplea la inyección web para robar cookies, contraseñas y demás datos sensibles.

El ataque comienza con la puesta en marcha de un programa de gestión remota que se hace pasar por una instalación de Java y con el que los ciberdelincuentes ganan acceso completo al sistema para cargar y descargar archivos y ejecutar scripts.

Desde Check Point, compañía que está alertando sobre esta campaña, detallan que se acaba ejecutando mshta.exe con el archivo appContast.dll, firmado por Microsoft pero con datos añadidos. Esta información extra desata la carga útil del malware para provocar el robo de información.

La campaña de ZLoader se atribuye al grupo de ciberdecrimen MalSmoke y ya se ha cobrado más de 2000 víctimas en 111 países distintos.

“La gente debe saber que no puede confiar en la firma digital de un archivo”, advierte Kobi Eisenkraft, Malware Researcher de Check Point Software.

“Lo que encontramos fue una nueva campaña de ZLoader que explota la verificación de la firma digital de Microsoft para robar información sensible de los usuarios”, explica, añadiendo que “comenzamos a ver pruebas de esta nueva campaña alrededor de noviembre de 2021”.

“Los atacantes”, dice Eisenkraft, “buscan el robo de credenciales de usuario e información privada de las víctimas”, “consiguen evadir los sistemas de control y siguen actualizando sus métodos semanalmente”.

Por eso, se recomienda “encarecidamente a los usuarios a que apliquen la actualización de Microsoft para la verificación estricta de Authenticode, que no se aplica por defecto”.