Januar 7th, 2022CyberHoot har undersøkt en ny form for skadelig programvare kjent som Malsmoke. Denne skadelige programvaren utnytter en sårbarhet på den måten Microsoft digitalt signerer en bestemt filtype. Cybertrusseletterretningsfirmaet Check Point Research sier at angrepet bruker den beryktede bankskadevaren Zloader å stjele kontoinformasjon og andre private data. Skadevaren har allerede infisert 2,170 unike maskiner som lastet ned den skadelige programvaren Atera fil involvert i angrepet. De fleste ofrene er i USA og Canada, men kampanjen har rammet mer enn 100 andre land, inkludert India, Tyskland, Russland og Storbritannia. CyberHoot bestemte seg for å dele denne meldingen med administratorene våre for å øke bevisstheten.
For de fleste leverandører av administrerte tjenester der ute, er det svært liten risiko for Atera RMM. De tre store RMM-løsningene – Connectwise, Datto og Kaseya, er ikke utsatt for denne sårbarheten. Når det er sagt, er det alltid nyttig å vite mer om hva hackere driver med, så les videre.
Check Point sa at kampanjen, som først ble observert tidlig i november 2021, bruker legitim programvare for fjernadministrasjon for å få tilgang til målmaskinen. Derfra utnytter angriperne Microsofts metode for verifisering av digitale signaturer for å injisere den ondsinnede nyttelasten sin i en signert Windows DLL-fil for å omgå sikkerhetsforsvar.
Mer spesifikt starter kampanjen med å installere Atera fjernovervåking og administrasjonsprogramvare på en målmaskin. Ateras produkt er et legitimt eksternt verktøy som brukes av IT-fagfolk, og tilbyr en gratis 30-dagers prøveperiode for nye brukere, et alternativ angriperne sannsynligvis bruker for å få første tilgang. Når produktet er installert, har operatørene full kontroll over systemet for å kjøre skript og laste opp eller laste ned filer.
For å beskytte deg selv og organisasjonen din mot denne spesifikke utnyttelsen, anbefaler Check Point at du søker Microsofts oppdatering for streng Authenticode-verifisering.
For MSP-er som bruker Datto RMM, tilbyr de en overvåker for å sjekke om denne agenten er tilstede. Komponenten (Atera Agent Monitor/Uninstaller [WIN]) er tilgjengelig i ComStore og kan distribueres umiddelbart.
Malsmoke-hackere misbruker Microsofts signaturverifisering i ZLoader-cyberangrep
Merknad fra Dattos informasjonssikkerhetsteam: Atera-veiledning for MSP-er
Oppdag og del de nyeste trendene, tipsene og beste praksisene innen cybersikkerhet – i tillegg til nye trusler du bør se opp for.
En praktisk briefing for vCISO-er ADVARSELEN VI IGNORERTE ELLER IKKE KUNNE FORSTÅ I årevis har den mest troverdige...
Les mer
En guide til å oppdage svindel med ledere som etterligner seg før den falske administrerende direktøren får en ekte bankoverføring. Det...
Les mer
Kunstig intelligens (eller KI) gjør phishing-e-poster smartere, skadelig programvare mer snikende og legitimasjonstyveri enklere ...
Les merFå et skarpere blikk på menneskelige risikoer, med den positive tilnærmingen som slår tradisjonell phishing-testing.
