Januar 7th, 2022CyberHoot har undersøgt en ny form for malware kendt som Malsmoke. Denne malware udnytter en sårbarhed på den måde Microsoft digitalt underskriver en specifik filtype. Cybertrusselsefterretningsfirmaet Check Point Research siger, at Angrebet bruger den berygtede Zloader-bankmalware at stjæle kontooplysninger og andre private data. Malwaren har allerede inficeret 2,170 unikke maskiner, der har downloadet den skadelige Atera fil involveret i udnyttelsen. De fleste ofre er i USA og Canada, men kampagnen har ramt mere end 100 andre lande, herunder Indien, Tyskland, Rusland og Storbritannien. CyberHoot besluttede at dele denne meddelelse med vores administratorer for at øge bevidstheden.
For de fleste Managed Service Providers er der meget lille risiko forbundet med Atera RMM. De tre store RMM-løsninger – Connectwise, Datto og Kaseya – er ikke udsat for denne sårbarhed. Når det er sagt, er det altid nyttigt at vide mere om, hvad hackere har gang i, så læs videre.
Check Point oplyste, at kampagnen, der først blev set i starten af november 2021, bruger legitim fjernstyringssoftware til at få adgang til målmaskinen. Derfra udnytter angriberne Microsofts digitale signaturverifikationsmetode til at injicere deres ondsindede nyttelast i en signeret Windows DLL-fil for at omgå sikkerhedsforsvar.
Helt konkret begynder kampagnen med at installere Atera fjernovervågnings- og styringssoftware på en målmaskine. Ateras produkt er et legitimt fjernværktøj, der bruges af IT-professionelle, og tilbyder en gratis 30-dages prøveperiode for nye brugere, en mulighed som angriberne sandsynligvis bruger til at få adgang. Når produktet er installeret, har operatørerne fuld kontrol over systemet til at køre scripts og uploade eller downloade filer.
For at beskytte dig selv og din organisation mod netop denne udnyttelse, anbefaler Check Point, at du anvender Microsofts opdatering til streng Authenticode-verifikation.
For MSP'er, der bruger Datto RMM, tilbyder de en monitor til at kontrollere tilstedeværelsen af denne agent. Komponenten (Atera Agent Monitor/Uninstaller [WIN]) er tilgængelig i ComStore og kan implementeres med det samme.
Malsmoke-hackere misbruger Microsofts signaturverifikation i ZLoader-cyberangreb
Meddelelse fra Dattos informationssikkerhedsteam: Atera-vejledning til MSP'er
Opdag og del de seneste cybersikkerhedstrends, tips og bedste praksisser – sammen med nye trusler, du skal være opmærksom på.
En praktisk briefing til vCISO'er ADVARSELEN VI IGNOREREDE ELLER IKKE KUNNE FORSTÅ I årevis har den mest troværdige...
Læs mere
En guide til at opdage svindel med efterligning af ledende medarbejdere, før den falske administrerende direktør får en rigtig bankoverførsel. Det...
Læs mere
Kunstig intelligens (eller AI) gør phishing-e-mails smartere, malware mere lusket og tyveri af legitimationsoplysninger lettere...
Læs mereFå et skarpere blik på menneskelige risici med den positive tilgang, der slår traditionel phishing-testning.
