Una campaña en curso de Zloader utiliza una nueva cadena de infección para deshabilitar Microsoft Defender en las computadoras de las víctimas para evadir la detección.

Según las estadísticas de Microsoft , Microsoft Defender Antivirus es la solución Anti-malware preinstalada en más de mil millones de sistemas que ejecutan Windows 10.

Los atacantes también han modificado el vector de entrada de malware de correos electrónicos no deseados, o phishing, a anuncios de TeamViewer de Google publicados a través de Google Adwords, redirigiendo los objetivos a sitios falsos de descarga. A partir de ahí, son engañados para que descarguen instaladores MSI firmados y maliciosos diseñados para instalar el malware Zloader en sus computadoras.

"La cadena de ataque analizada en esta investigación muestra cómo la complejidad del ataque ha crecido para alcanzar un mayor nivel de sigilo", declararon los investigadores de seguridad de SentinelLabs Antonio Pirozzi y Antonio Cocomazzi en un informe publicado el 13/09/2021 .

"El dropper de la primera etapa se ha cambiado del clásico documento malicioso a un payloads firmado MSI. Utilizando archivos binarios con puerta trasera y una serie de LOLBAS para dañar las defensas y representar la ejecución de sus payloads."

Ataques centrados en clientes bancarios Australianos y Alemanes

Zloader (también conocido como Terdot y DELoader) es un troyano bancario detectado inicialmente en agosto de 2015 cuando se utilizó para atacar a varios clientes de objetivos financieros británicos.

Este malware se basa casi en su totalidad en el código fuente del troyano Zeus v2 filtrado en línea hace más de una década.

El troyano bancario se dirigió a bancos de todo el mundo, desde Australia y Brasil hasta América del Norte, en un intento de recopilar datos financieros a través de inyecciones web que utilizan ingeniería social para convencer a los clientes afectados de que entreguen los códigos de autenticación y credenciales.

Más recientemente, también se ha utilizado para entregar ransomware como Ryuk y Egregor. Zloader también viene con capacidades de acceso remoto y de puerta trasera, y también se puede utilizar para descargar payloads en los dispositivos infectados.

Según la investigación de SentinelLabs, esta última campaña se centra principalmente en dirigirse a clientes de instituciones bancarias alemanas y australianas.

"Esta es la primera vez que observamos esta cadena de ataques en una campaña de ZLoader", concluyeron los investigadores de SentinelLabs.

"Al momento de escribir este artículo, no tenemos evidencia de que la cadena de entrega haya sido implementada por un afiliado específico o si fue proporcionada por el operador principal".

MalwareBytes, que rastrea esta campaña de publicidad maliciosa, que llamaron Malsmoke desde principios de 2020, vio a los actores de amenazas infectando a sus objetivos haciendo dropper del malware Smoke Loader utilizando el kit de exploits Fallout a través de sitios maliciosos con contenido para adultos.

Han cambiado a sitios que imitan Discord, TeamViewer, Zoom y QuickBooks a partir de finales de agosto de 2021, y es probable que se dirijan a empresas en lugar de personas, según el investigador de seguridad nao_sec.

Fuentes: SentinelLabs | Bleepingcomputer