Nový Stealthier ZLoader Variant sa šíri prostredníctvom falošných reklám na stiahnutie TeamViewer

Používatelia, ktorí hľadajú softvér pre vzdialenú plochu TeamViewer vo vyhľadávacích nástrojoch, ako je Google, sú presmerovaní na škodlivé odkazy, ktoré prenášajú malvér ZLoader do ich systémov a súčasne prijímajú tajnejší reťazec infekcií, ktorý mu umožňuje zotrvať na infikovaných zariadeniach a vyhnúť sa detekcii bezpečnostnými riešeniami.

“Malvér je stiahnutý z reklamy Google zverejnenej prostredníctvom Google Adwords,” uviedli vedci zo SentinelOne v správe zverejnenej v pondelok. “V tejto kampani útočníci používajú nepriamy spôsob kompromitovania obetí namiesto použitia klasického prístupu priameho kompromitovania obetí, ako je napríklad phishing.”

Prvýkrát objavený v roku 2016, ZLoader (známy aj ako Silent Night a ZBot) je plne funkčný bankový trójsky kôň a fork ďalšieho bankového malvéru s názvom ZeuS, pričom novšie verzie implementujú modul VNC, ktorý poskytuje protivníkom vzdialený prístup k systémom obetí. Malvér je v aktívnom vývoji, pričom zločinci v posledných rokoch vytvorili množstvo variantov, nemenej podporených únikom zdrojového kódu ZeuS v roku 2011.

Predpokladá sa, že posledná vlna útokov sa zameriava na používateľov austrálskych a nemeckých finančných inštitúcií s primárnym cieľom zachytiť webové požiadavky používateľov na bankové portály a ukradnúť bankové poverenia. Kampaň je však pozoruhodná aj vďaka krokom, ktoré sú potrebné na to, aby ste zostali pod radarom, vrátane spustenia série príkazov na skrytie zákernej aktivity vypnutím Windows obranca.

Infekčný reťazec sa začína, keď používateľ klikne na reklamu zobrazenú spoločnosťou Google na stránke s výsledkami vyhľadávania a je presmerovaný na falošnú stránku TeamViewer pod kontrolou útočníka, čím obeť oklame, aby si stiahla nečestný, ale podpísaný variant softvéru („Tím- Viewer.msi”). Falošný inštalačný program funguje ako kvapkadlo prvej fázy, ktoré spúšťa sériu akcií, ktoré zahŕňajú sťahovanie kvapkadiel ďalšej fázy zameraných na narušenie obrany stroja a nakoniec stiahnutie užitočného zaťaženia DLL ZLoader (“tim.dll”).

„Najskôr deaktivuje všetky Windows Moduly Defender prostredníctvom rutiny cmdlet PowerShell Set-MpPreference,“ povedal Senior Threat Intelligence Researcher zo SentinelOne Antonio Pirozzi. malvér z Windows Obranca.”

Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že našla ďalšie artefakty, ktoré napodobňujú populárne aplikácie ako Discord a Zoom, čo naznačuje, že útočníci mali viacero kampaní, ktoré presahovali využitie TeamViewer.

„Reťazec útokov analyzovaný v tomto výskume ukazuje, ako narástla zložitosť útoku s cieľom dosiahnuť vyššiu úroveň utajenia, pričom sa používa alternatíva ku klasickému prístupu kompromitujúcich obetí prostredníctvom phishingových e-mailov,“ vysvetlil Pirozzi. “Technika používaná na inštaláciu kvapkadla prvej fázy sa zmenila zo sociálneho inžinierstva obete na otvorenie škodlivého dokumentu na otravu používateľského vyhľadávania na webe pomocou odkazov, ktoré poskytujú tajný, podpísaný obsah MSI.”