Schadsoftware ZLoader Neuer Trojaner nutzt Microsofts digitale Signaturprüfung aus

Von Heidi Schuster

Die Malware ZLoader ändert Microsofts Dateisignaturen, um an sensible Informationen zu kommen. Check Point Research stellt eine steigende Verbreitung der Schadsoftware fest. Wie funktioniert die Infektionskette?

Firmen zum Thema

Der Banking-Trojaner ZLoader ist erneut auf dem Vormarsch. Die Sicherheitsexperten von Check Point vermuten, dass die Gruppe MalSmoke dahintersteckt.
Der Banking-Trojaner ZLoader ist erneut auf dem Vormarsch. Die Sicherheitsexperten von Check Point vermuten, dass die Gruppe MalSmoke dahintersteckt.
(Bild: Pixabay)

Im vergangenen Sommer ist ZLoader den Sicherheitsexperten von Check Point Research besonders aufgefallen. Damals kaufte die Gruppe MalSmoke, die Betreiber hinter der Malware, einige Google-Keyword-Anzeigen, um unterschiedliche Malware-Stämme zu verbreiten, darunter die berüchtigte Ryuk Ransomware.

Die Sicherheitsforscher stellen seit November 2021 wieder eine gesteigerte Aktivität der Schadsoftware fest. Check Point konnte bisher über 2.100 Opfer in 111 Ländern identifizieren. Deutschland liegt dabei auf dem sechsten Platz – Tendenz steigend. Das Besondere an der neuen ZLoader-Kampagne ist, dass die Software Microsofts Dateisignaturen ausnutzt, um den Anschein von Legitimität zu erwecken. Allerdings wird das digitale Wasserzeichen verändert.

Die Verbreitung der aktuellen ZLoader-Kampagne nach Länder.
Die Verbreitung der aktuellen ZLoader-Kampagne nach Länder.
(Bild: Checkpoint)

Die Infektionskette

  • Der Angriff beginnt mit der Installation eines legitimen Fernverwaltungsprogramms, das vorgibt, eine Java-Installation zu sein.
  • Nach dieser Installation hat der Angreifer vollen Zugriff auf das System und ist in der Lage, Dateien hoch- und herunterzuladen und Skripte auszuführen. Der Angreifer lädt einige Skripte hoch und führt sie aus. Diese laden weitere Skripte herunter, die eine mshta.exe mit der Datei appContast.dll als Parameter ausführen.
  • Die Datei appContast.dll wirkt tatsächlich von Microsoft signiert, obwohl am Ende der Datei weitere Informationen hinzugefügt wurden.
  • Die hinzugefügten Informationen laden die endgültige ZLoader-Nutzlast herunter und führen sie aus, wodurch die Benutzeranmeldeinformationen und privaten Informationen der Opfer gestohlen werden.

CheckPonit zufolge entwickeln die Verantwortlichen die Malware-Kampagne im Wochentakt weiter, um eine effektive Gegenwehr zu erschweren. Basierend auf der Analyse der Methodik der aktuellen Kampagne, im Vergleich zu bisherigen Malware-Attacken, geht Check Point davon aus, dass es sich bei den Köpfen dahinter um die Verantwortlichen von MalSmoke handelt.

„Ich empfehle den Anwendern dringend, das Microsoft-Update für die strenge Authenticode-Verifizierung zu installieren, da es standardmäßig nicht angewendet wird“, sagt Kobi Eisenkraft, Malware-Forscher bei Check Point.

(ID:47917844)