Novos ataques Zloader desabilitam o Windows Defender para evitar a detecção

Uma campanha contínua do Zloader usa uma nova cadeia de infecção para desativar o Microsoft Defender Antivirus (antigo Windows Defender) nos computadores das vítimas para evitar a detecção.

De acordo com as estatísticas da Microsoft , o Microsoft Defender Antivirus é a solução anti-malware pré-instalada em mais de 1 bilhão de sistemas executando o Windows 10.

Os invasores também mudaram o vetor de entrega de malware de e-mails de spam ou phishing para anúncios do Google TeamViewer publicados por meio do Google Adwords, redirecionando os alvos para sites de download falsos.

A partir daí, eles são induzidos a baixar instaladores MSI assinados e maliciosos, projetados para instalar cargas úteis de malware Zloader em seus computadores.

“A cadeia de ataque analisada nesta pesquisa mostra como a complexidade do ataque cresceu para atingir um nível mais alto de furtividade“, disseram os pesquisadores de segurança do SentinelLabs Antonio Pirozzi e Antonio Cocomazzi em um relatório publicado hoje .

“O dropper de primeiro estágio foi alterado de documento malicioso clássico para uma carga útil MSI assinada furtiva. Ele usa binários backdoor e uma série de LOLBAS para prejudicar as defesas e fazer proxy da execução de suas cargas úteis.“

Ataques são voltados para clientes bancários australianos e alemães

Zloader (também conhecido como Terdot e DELoader) é um cavalo de Troia bancário inicialmente localizado em agosto de 2015, quando foi usado para atacar vários clientes de alvos financeiros britânicos.

Como o Zeus Panda e o Floki Bot , esse malware é quase inteiramente baseado no código-fonte do Trojan Zeus v2 que vazou online há mais de uma década.

O trojan bancário tinha como alvo bancos em todo o mundo, da Austrália e Brasil à América do Norte, tentando coletar dados financeiros por meio de injeções na web que usam engenharia social para convencer clientes infectados a distribuir códigos de autenticação e credenciais.

Mais recentemente, ele também foi usado para fornecer cargas úteis de ransomware, como Ryuk e Egregor . O Zloader também vem com recursos de backdoor e acesso remoto, e também pode ser usado como um carregador de malware para descarregar mais cargas em dispositivos infectados.

De acordo com a pesquisa do SentinelLabs, esta última campanha tem como foco principal os clientes de instituições bancárias alemãs e australianas.

“Esta é a primeira vez que observamos essa cadeia de ataque em uma campanha do ZLoader”, concluíram os pesquisadores do SentinelLabs .

“No momento em que este artigo foi escrito, não temos evidências de que a cadeia de entrega tenha sido implementada por uma afiliada específica ou se foi fornecida pela operadora principal.“

MalwareBytes, que rastreia essa campanha de malvertising que eles chamam de Malsmoke desde o início de 2020, viu os agentes de ameaças infectando seus alvos com o dropper de malware Smoke Loader usando o kit de exploração Fallout por meio de sites maliciosos com tema adulto.

Eles mudaram para sites que imitam Discord, TeamViewer, Zoom e QuickBooks a partir do final de agosto de 2021, e provavelmente estão visando empresas em vez de indivíduos, de acordo com o pesquisador de segurança nao_sec.

Fonte: https://minutodaseguranca.blog.br/