O eterno retorno do Zloader: uma nova campanha envolveu mais de 2.000 vítimas

gurinho

Zloader faz o seu regresso com uma nova campanha espalhada por 111 países e que conta já com inúmeras vítimas. Outra variante do conhecido malware bancário que estava em cena em 2020 e hoje muda sua abordagem em sua difusão. Mas enquanto no passado explorava sites adultos, documentos maliciosos ou anúncios do Google para infectar PCs, agora os desenvolvedores usam um programa de gerenciamento remoto de software como vetor viral .

A campanha provavelmente foi identificada no início de novembro de 2021 e os números do ataque falam por si. Em um dos domínios extraídos pelo malware é possível ver tanto os arquivos usados ​​para a infecção quanto uma pasta de entrada que contém as vítimas do Zloader classificadas por país. Em 2 de janeiro de 2022, havia 2.170 endereços IP pertencentes principalmente aos Estados Unidos e Canadá . Além disso, as datas de modificação dos arquivos muito atualizadas sugerem que os autores estão pensando em variações novas e mais eficazes.

O retorno do Zloader: como funciona a campanha de ataque

A equipe da Check Point Research analisou a estrutura do ataque perpetrado pelo Zloader. Uma análise semelhante também foi feita pela Malwarebytes há dois anos durante a primeira campanha. A cadeia de ataque bastante complexa e complicada começa com o Atera, um software para gerenciamento remoto e monitoramento de endpoints. Atera é capaz de instalar um agente através de um arquivo .msi que é o gatilho do mecanismo Zloader . De fato, o procedimento de instalação, que emula um programa Java, permite que o invasor tome posse do PC, podendo fazer upload e download de arquivos de qualquer tipo.

campanha de retorno do zloader

A partir do instalador inicial, continuamos com os arquivos .bat que contornam as defesas do Windows Defender e continuam a carregar o software malicioso várias vezes e com vários arquivos. O aspecto central do ataque é a evasão do mecanismo de verificação de assinatura digital da Microsoft . De fato, uma das bibliotecas usadas para o funcionamento do malware é assinada pela Microsoft e com uma assinatura válida, embora contenha uma porção adicional de carga útil. Neste ponto, dois mecanismos entram em jogo:

  1. graças à biblioteca mencionada, Zloader é capaz de carregar todos os arquivos restantes e estabelecer uma conexão com o servidor de Comando e Controle;
  2. um último arquivo .bat modifica uma chave de registro que permite a execução de todos os programas com privilégios administrativos.

Como você pode imaginar, a evolução do malware é extremamente refinada e os desenvolvedores prestaram muita atenção à evasão das defesas do sistema . Além disso, Zloader pode permanecer ativo ao longo do tempo graças a algumas configurações que garantem sua ativação a cada reinicialização do sistema.

campanha de retorno do zloader

Riscos e possíveis contramedidas

Os usuários infectados com software malicioso podem ficar expostos ao compartilhamento de arquivos e documentos pessoais. Além disso, como a conexão com o servidor de Comando e Controle do invasor está ativa, é de fato possível ter controle total do computador.

Como já antecipado, a campanha já conta com várias vítimas e o método de ataque é semelhante ao do grupo MalSmoke que havia realizado tal ataque em 2020.

No momento, a única sugestão para garantir a segurança do seu sistema é instalar as atualizações da Microsoft com uma verificação oportuna do Authenticode . Na verdade, o sistema permite que os usuários e o sistema operacional verifiquem se o código do programa vem do desenvolvedor legítimo. Vamos monitorar o desenvolvimento da campanha e quaisquer novas variantes do Zloader.

O artigo O eterno retorno do Zloader: uma nova campanha envolvendo mais de 2.000 vítimas vem do Tech CuE | Engenharia de close-up .