Em comunicado, a CPR, área de 'Threat Intelligence' da Check Point Software Tecnologies, que opera na área da cibersegurança, "alerta para uma nova campanha de 'malware' que esta a utilizar a verificação da assinatura digital para roubar as credenciais dos utilizadores e informações sensíveis".

De acordo com a empresa, "ZLoader de seu nome, o 'malware' já soma mais de 2.000 vítimas em 111 países", sendo que a CPR atribui a campanha maliciosa, datada de novembro passado, ao grupo Malsmoke, "que tem feito um grande esforço para aprimorar as suas técnicas evasivas".

O ZLoader é conhecido por ser uma ferramenta de disseminação de 'ransomware' ['malware' que sequestra arquivos, encriptam-nos e pedem resgate], incluindo Ryuk e Conti.

"O ZLoader é um 'trojan' bancário que recorre a 'web injection', uma técnica que, através da injeção de código malicioso, permite roubar 'cookies', 'passwords' e quaisquer outras informações sensíveis", explica a CPR.

"Conhecido por distribuir 'malware', o ZLoader foi identificado em setembro de 2021 pela Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos, no âmbito da investigação relativa à disseminação do 'ransomware' Conti", acrescenta.

De acordo com a CPR, o ataque tem início com a instalação de um programa legítimo de gestão remota que aparenta ser uma instalação Java e, a partir daí, o atacante tem acesso total ao sistema.

"Assim, o atacante carrega e executa 'scripts' que descarregam mais 'scripts' que, por sua vez, executam o 'software' mshta.exe com o ficheiro appContast.dll como parâmetro", explica.

"O ficheiro appConstant.dll é firmado pela Microsoft, apesar de ter sido adicionada mais informação ao final do ficheiro" e esta informação "descarrega e executa o 'payload' Zloader final, roubando as credenciais de utilizador e outras informações pessoais das vítimas", acrescenta.

Até ao momento, a CPR "tem registo de 2.170 vítimas únicas", sendo que a maioria reside no Estados Unidos, seguido do Canadá e Índia.

""As pessoas têm de saber que não podem confiar imediatamente na assinatura digital de um ficheiro. O que descobrimos foi uma nova campanha do ZLoader que explora a verificação da assinatura digital da Microsoft para roubar informação sensível dos utilizadores", afirma Kobi Eisenkraft, 'malware researcher' da Check Point, citado no comunicado.

"Recomendo vivamente todos os utilizadores a implementar a atualização da Microsoft de forma a contar com uma verificação mais rígida do Autheticode, uma vez que não é implementado automaticamente", salienta o responsável.

Leia Também: Especialistas: Risco de ciberataques a empresas portuguesas é permanente