Zloader pone en jaque a más de 2.000 sistemas de 111 países afectando a cuentas bancarias, datos personales y otra información

El malware se ha diseminado por el mundo como un virus real, afectando a millones y millones de dispositivos cada año. Cada vez es más complicado tratar con este software malicioso, el cual puede causar toda clase de problemas a empresas y usuarios por igual. Entre los malware más conocidos se encuentra «ZLoader«, un troyano que ya ha dado de qué hablar en el pasado, y que lo va a seguir haciendo. De hecho, la compañía Check Point Research ha descubierto una nueva campaña de malware con este troyano como actor principal; una campaña que afecta a sistemas con Windows instalado y que tiene varios objetivos. Antes de nada, tenemos que comentar que ya ha vulnerado un total de 2000 PC’s, afectado a cuentas bancarias y a datos personales en 111 países del mundo. ¿Situación crítica? Zloader pone en jaque a más de 2.000 sistemas de 111 países.

Para lograr su objetivo, Zloader actuó bajo un método engañoso y un archivo con licencia de Microsoft. Este troyano, al que ya hemos visto en acción, hace uso de la inyección web para robar cookies, contraseñas y cualquier otro dato sensible de los ordenadores. El modus operandi del troyano es muy sencillo: empieza instalando un software legal de gestión remota que se hace pasar por una instalación de Java. Una vez realizado este paso, el ciberdelincuente ya tendría acceso total al sistema, pudiendo cargar/descargar archivos y ejecutar scripts con total libertad. Estos scripts cargan y ejecutan otros adicionales que activan mshta.exe con el archivo appContast.dll como parámetro. Para evitar que este troyano surta efecto, se recomienda mantener los sistemas bien actualizados. Una mala costumbre muy extendida es no tener el software actualizado a las versiones más nuevas, dejando así una puerta abierta a los ciberdelincuentes.

Check Point Software habla sobre esta campaña

Kobi Eisenkraft, Investigador de Malware en Check Point Software, comenta al respecto: -«La gente debe saber que no puede confiar en la firma digital de un archivo. Lo que encontramos fue una nueva campaña de ZLoader que explota la verificación de la firma digital de Microsoft para robar información sensible de los usuarios. Comenzamos a ver pruebas de esta nueva campaña alrededor de noviembre de 2021. Los atacantes, que atribuimos a MalSmoke, buscan el robo de credenciales de usuario e información privada de las víctimas. Hasta ahora, hemos contabilizado más de 2.000 víctimas en 111 países. Con todo, parece que los autores de la campaña de Zloader consiguen evadir los sistemas de control y siguen actualizando sus métodos semanalmente. Recomendamos encarecidamente a los usuarios a que apliquen la actualización de Microsoft para la verificación estricta de Authenticode, que no se aplica por defecto«-.

Figura 1. Imagen simplificada de la cadena de infección

Consejos de seguridad

• Aplicar la actualización de Microsoft para la verificación estricta de Authenticode. No se aplica por defecto.
• No instalar programas de fuentes o sitios desconocidos.
• No pulsar sobre enlaces ni abrir archivos adjuntos desconocidos que se reciban por correo.