Esta nueva variante del troyano bancario Zloader aprovecha la vulnerabilidad CVE-2013-3900. A pesar de que esta fue corregida en 2013, desde 2014 el parche tiene carácter opcional y no viene activado por defecto en los sistemas de Microsoft. Esto permite al malware modificar de manera sutil archivos firmados, sin perder la validez de la firma.
Previamente Zloader había hecho uso de documentos maliciosos, sitios para adultos y anuncios de Google para infectar los sistemas objetivo. En este caso el software de gestión remota de Atera se usa cómo punto de acceso inicial.
Cadena de infección del malware
El software de Atera, que es completamente legítimo, asigna un equipo a una cuenta usando un archivo msi que incluye la dirección de email del usuario. Para tener acceso completo al sistema los atacantes han creado un instalador modificado asociado con una cuenta de correo temporal.
Tras la instalación de Atera se produce la descarga de dos archivos, uno de ellos con la función de modificar los ajustes de Windows Defender. El otro se usa para descargar el resto de los archivos que necesita el troyano. Los archivos descargados modifican otras opciones del sistema operativo para dificultar la detección del malware.
El proceso de instalación del troyano continúa con la ejecución de un archivo dll modificado con un script malicioso. Dicho archivo tiene una firma digital válida de Microsoft, que cómo indicamos se obtiene aprovechando el CVE-2013-3900.
Seguidamente, se producen modificaciones en el registro de Windows. El objeto de estas es desactivar el aviso de ejecución de aplicaciones cómo administrador. Esto permite que todas las aplicaciones se ejecuten con privilegios elevados sin que se produzca ninguna notificación al usuario.
Tras completar la descarga y ocultación del troyano en el sistema se producen nuevas modificaciones del registro de Windows para asegurar la persistencia. Para completar este paso se produce una llamada a un proceso con dos archivos dll cómo argumento. Los dos archivos mencionados no se encuentran en el sistema, lo que parece indicar que el malware está aún en proceso de desarrollo.
Créditos: Antonio Tascón