Soubor appContast.dll je podepsán společností Microsoft, přestože na konec souboru byly přidány další informace.
Check Point varuje před novou malwarovou kampaní zneužívající technologii Microsoft pro ověřování elektronických podpisů. Cílem jsou krádeže přihlašovacích údajů a citlivých informací. Bankovní trojan Zloader má už více než 2 000 obětí ze 111 zemí. Za nejnovějšími útoky stojí pravděpodobně kyberzločinecká skupina MalSmoke, která pravidelně mění a vylepšuje svoje maskovací metody. Microsoft už dříve uvedl, že hackeři stojící za Zloaderem nakupovali na Googlu reklamu, aby šířili různé varianty škodlivých kódů, včetně ransomwaru Ryuk.
Útoky probíhají v několika fázích. Cílem některých kroků je vyhnout se odhalení bezpečnostními technologiemi, některé načítají další části útoku z řídícího serveru a další fáze se zaměřují na to, aby hrozba mohla v počítači škodit dlouhodobě a nevzbudila pozornost. Útočníci chtějí útoky automatizovat a mít možnost je průběžně měnit a vylepšovat, takže malware stahuje a spouští z C&C serveru další soubory.
Útok začíná instalací běžně používaného programu Atera pro vzdálenou správu. Hackeři vytvořili verzi, která na zařízení oběti nepozorovaně instaluje škodlivého agenta. Po instalaci má útočník plný přístup k systému a může nahrávat/stahovat soubory a také spouštět další skripty, až dojde ke spuštění mshta.exe se souborem appContast.dll jako parametrem. Soubor appContast.dll je podepsán společností Microsoft, přestože na konec souboru byly přidány další informace. Při bližší analýze DLL knihovny se ukazuje, že soubor sice obsahuje platný digitální podpis společnosti Microsoft, ale jeho původní název je AppResolver.dll a je k němu navíc připojený skript. Přidané informace stáhnou a spustí finální část Zloaderu a ukradnou obětem přihlašovací údaje a další citlivé informace.
Check Point o problému informoval společnosti Microsoft a Atera.