CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Zloader vizează Windows Defender

O campanie Zloader folosește un nou lanț de infectare  pentru a dezactiva Microsoft Defender Antivirus de pe calculatoarele utilizatorilor și pentru a evita detectarea. Microsoft Defender Antivirus este soluția anti-malware preinstalată pe un miliard de sisteme care rulează sistemul de operare Windows 10. Atacatorii au schimbat, de asemenea, metoda de livrare a malware-ului, de la spam sau e-mailuri de phishing, la reclame TeamViewer Google publicate prin Google Adwords, pentru a redirecționa utilizatorii către site-uri de descărcare malițioase.

 Utilizatorii sunt păcăliți să descarce programe de instalare MSI malițioase, care sunt concepute pentru a instala Zloader pe computerele lor.

Dropper-ul din prima etapă a fost modificat de atacatori, dintr-un document malițios într-un fișier MSI. Acesta a folosit fișiere binare backdoored și o serie de scripturi LOLBAS. Zloader mai este cunoscut și sub numele de Terdot și DELoader și este un malware bancar descoperit inițial în august 2015, când a fost folosit pentru a ataca mai mulți clienți ai unor bănci britanice. La fel ca Zeus Panda și Floki Bot, acest malware se folosește de codul sursă al malware-ului Zeus v2, care a fost lansat online în urmă cu mai bine de un deceniu. Malware-ul bancar vizează bănci din întreaga lume, din Australia și Brazilia până în America de Nord, încercând să obțină date bancare prin intermediul unor injecții web, care folosesc diferite inginerie socială, pentru a convinge utilizatorii să ofere credențiale. Recent, a fost folosit și pentru a livra payload-uri ransomware, cum ar fi Ryuk și Egregor. Malware-ul Zloader are, de asemenea, funcții de backdoor și de acces de la distanță și poate fi folosit pentru a lansa alte payload-uri pe dispozitivele afectate.

 Echipa de la MalwareBytes, care urmărește această serie de atacuri și pe care a numit-o Malsmoke de la începutul anului 2020, a observat că atacatorii au folosit Smoke Loader pentru a infecta victimele  folosind kitul de exploatare Fallout prin intermediul unor site-uri malițioase cu conținut destinat adulților.

Atacatorii au început să folosească site-uri care se prezintă a fi platforme precum Discord, TeamViewer, Zoom și QuickBooks, cu sfârșitul lunii august 2021 și probabil că vizează mai degrabă companiile decât persoanele fizice.

Sursa: https://www.bleepingcomputer.com/news/security/new-zloader-attacks-disable-windows-defender-to-evade-detection/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică