Uma campanha contínua do Zloader usa uma nova cadeia de infecção para desativar o Microsoft Defender Antivirus (antigo Windows Defender) nos computadores das vítimas para evitar a detecção.
De acordo com as estatísticas da Microsoft , o Microsoft Defender Antivirus é a solução anti-malware pré-instalada em mais de 1 bilhão de sistemas executando o Windows 10.
Os invasores também mudaram o vetor de entrega de malware de e-mails de spam ou phishing para anúncios do Google TeamViewer publicados por meio do Google Adwords, redirecionando os alvos para sites de download falsos.
A partir daí, eles são induzidos a baixar instaladores MSI assinados e maliciosos, projetados para instalar cargas úteis de malware Zloader em seus computadores.
“A cadeia de ataque analisada nesta pesquisa mostra como a complexidade do ataque cresceu para atingir um nível mais alto de furtividade“, disseram os pesquisadores de segurança do SentinelLabs Antonio Pirozzi e Antonio Cocomazzi em um relatório publicado hoje .
“O dropper de primeiro estágio foi alterado de documento malicioso clássico para uma carga útil MSI assinada furtiva. Ele usa binários backdoor e uma série de LOLBAS para prejudicar as defesas e fazer proxy da execução de suas cargas úteis.“
Zloader (também conhecido como Terdot e DELoader) é um cavalo de Troia bancário inicialmente localizado em agosto de 2015, quando foi usado para atacar vários clientes de alvos financeiros britânicos.
Como o Zeus Panda e o Floki Bot , esse malware é quase inteiramente baseado no código-fonte do Trojan Zeus v2 que vazou online há mais de uma década.
O trojan bancário tinha como alvo bancos em todo o mundo, da Austrália e Brasil à América do Norte, tentando coletar dados financeiros por meio de injeções na web que usam engenharia social para convencer clientes infectados a distribuir códigos de autenticação e credenciais.
Mais recentemente, ele também foi usado para fornecer cargas úteis de ransomware, como Ryuk e Egregor . O Zloader também vem com recursos de backdoor e acesso remoto, e também pode ser usado como um carregador de malware para descarregar mais cargas em dispositivos infectados.
De acordo com a pesquisa do SentinelLabs, esta última campanha tem como foco principal os clientes de instituições bancárias alemãs e australianas.
“Esta é a primeira vez que observamos essa cadeia de ataque em uma campanha do ZLoader”, concluíram os pesquisadores do SentinelLabs .
“No momento em que este artigo foi escrito, não temos evidências de que a cadeia de entrega tenha sido implementada por uma afiliada específica ou se foi fornecida pela operadora principal.“
MalwareBytes, que rastreia essa campanha de malvertising que eles chamam de Malsmoke desde o início de 2020, viu os agentes de ameaças infectando seus alvos com o dropper de malware Smoke Loader usando o kit de exploração Fallout por meio de sites maliciosos com tema adulto.
Eles mudaram para sites que imitam Discord, TeamViewer, Zoom e QuickBooks a partir do final de agosto de 2021, e provavelmente estão visando empresas em vez de indivíduos, de acordo com o pesquisador de segurança nao_sec.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…