Check Point Research (CPR) dévoile une nouvelle campagne de logiciels malveillants qui exploite la vérification des signatures numériques de Microsoft pour voler les identifiants des utilisateurs et des informations sensibles. Connu sous le nom de ZLoader, ce maliciel est un cheval de Troie bancaire qui utilise l’injection web pour voler des cookies, des mots de passe et toute information sensible.

ZLoader s’est fait connaître dans le passé en diffusant des ransomwares. Il est apparu sur les radars de la CISA en septembre 2021 comme menace dans la diffusion du ransomware Conti. Au cours du même mois, Microsoft a déclaré que les opérateurs de ZLoader achetaient des annonces de mots-clés sur Google pour distribuer diverses souches de logiciels malveillants, dont le ransomware Ryuk.

Les experts de Check Point Research ont informé Microsoft et Atera de ses conclusions. Ce logiciel malveillant a fait plus de 2000 victimes dans 111 pays. CPR attribue la campagne, remontant à novembre 2021, au groupe cybercriminel Malsmoke, qui a, selon Check Point, déployé des efforts considérables pour mettre au point des méthodes d’évasion. ZLoader est connu pour être un outil de diffusion de ransomwares, notamment de Ryuk et Conti. 

Plus de 2000 victimes aux US, au Canada et en Inde

Dans ce rapport, CPR détaille la résurgence de ZLoader dans une campagne qui a fait plus de 2000 victimes dans 111 pays. CPR attribue la campagne au groupe cybercriminel MalSmoke, compte tenu de quelques similitudes avec des campagnes précédentes.

Voici la chaîne d’infection telle que détaillée par Check Point Research :

  1. l’attaque commence par l’installation d’un programme légitime de gestion à distance qui se fait passer pour une installation Java ;
  2. une fois installé, l’attaquant dispose d’un accès complet au système. Il est en mesure de télécharger des fichiers et d’exécuter des scripts. Il télécharge et exécute donc quelques scripts qui en téléchargent d’autres qui exécutent mshta.exe avec le fichier appContast.dll comme paramètre ;
  3. le fichier appContast.dll est signé par Microsoft, même si des informations supplémentaires ont été ajoutées à la fin du fichier ;
  4. les informations ajoutées téléchargent et exécutent la charge utile finale de Zloader, qui vole les informations d’identification de l’utilisateur et les informations privées des victimes.