Una campaña en curso de Zloader utiliza una nueva cadena de infección para deshabilitar Microsoft Defender en las computadoras de las víctimas para evadir la detección.
Según las estadísticas de Microsoft, Microsoft Defender Antivirus es la solución Anti-malware preinstalada en más de mil millones de sistemas que ejecutan Windows 10.
Los atacantes también han modificado el vector de entrada de malware de correos electrónicos no deseados, o phishing, a anuncios de TeamViewer de Google publicados a través de Google Adwords, redirigiendo los objetivos a sitios falsos de descarga.
A partir de ahí, son engañados para que descarguen instaladores MSI firmados y maliciosos diseñados para instalar el malware Zloader en sus computadoras.
“La cadena de ataque analizada en esta investigación muestra cómo la complejidad del ataque ha crecido para alcanzar un mayor nivel de sigilo”, declararon los investigadores de seguridad de SentinelLabs Antonio Pirozzi y Antonio Cocomazzi en un informe publicado el 13/09/2021 .
“El dropper de la primera etapa se ha cambiado del clásico documento malicioso a un payloads firmado MSI. Utilizando archivos binarios con puerta trasera y una serie de LOLBAS para dañar las defensas y representar la ejecución de sus payloads.”
¿Qué es Zloader?
Zloader (también conocido como Terdot y DELoader) es un troyano bancario detectado inicialmente en agosto de 2015 cuando se utilizó para atacar a varios clientes de objetivos financieros británicos.
Este malware se basa casi en su totalidad en el código fuente del troyano Zeus v2 filtrado en línea hace más de una década.
El troyano bancario se dirigió a bancos de todo el mundo, desde Australia y Brasil hasta América del Norte, en un intento de recopilar datos financieros a través de inyecciones web que utilizan ingeniería social para convencer a los clientes afectados de que entreguen los códigos de autenticación y credenciales.
Fuente: blog.segu-info.com.ar