Erkennung von Zloader-Kampagnen
Inhaltsverzeichnis:
Der berüchtigte Zloader-Banking-Trojaner ist mit einer brandneuen Angriffsroutine und ausweichfähigen Fähigkeiten zurück. Die neuesten Zloader-Kampagnen nutzen einen neuen Infektionsvektor und wechseln von Spam und Phishing zu bösartigen Google-Anzeigen. Darüber hinaus hilft ein ausgeklügelter Mechanismus, der Microsoft Defender-Module deaktiviert, Zloader unter dem Radar zu fliegen.
Laut den Forschern erlaubte der neueste Wechsel der Fähigkeiten Zloader von den Ransomware-as-a-Service (RaaS) Programmen zu profitieren. Am 22. September 2021 hat die US-Cybersecurity and Infrastructure Security Agency (CISA) gewarnt vor einem signifikanten Anstieg der Conti-Ransomware-Infektionen, wobei die Zloader-Infrastruktur als primärer Verteilungskanal genutzt wurde.
Was ist Zloader Malware?
Zloader, auch bekannt als Tredot, ist ein bösartiger Nachfolger des berüchtigten Zeus-Banking-Trojaners, der seit 2006 in freier Wildbahn operiert. Nachdem der Zeus-Quellcode 2011 durchgesickert war, verbreiteten sich zahlreiche Varianten im bösartigen Umfeld, wobei Zloader eines der produktivsten Beispiele war.
Anfangs agierte die Malware als voll funktionsfähige Banking-Malware, die Finanzorganisationen in Australien, Europa sowie Nord- und Südamerika anvisierte. Die Datendiebstahl-Fähigkeiten wurden durch Web-Injections und Social-Engineering-Tricks unterstützt, um Anmeldeinformationen und andere sensible Informationen von ahnungslosen Opfern zu ernten.
Zloader entwickelte sich im Laufe der Zeit zu einem vielseitigen Dropper mit erweiterten Backdoor- und Fernzugrifffähigkeiten. In den letzten Jahren wurden mehrere bösartige Kampagnen beobachtet , um solche Muster wie Cobalt Strike, DarkSide, Ryuk, Egregor und Conti zu liefern. Folglich erwarb der Trojaner einen starken Ruf unter Ransomware-Partnern und anderen Hacker-Kollektiven als Malware-Dropper.
Zloader-Infektionskette und Ausweichfähigkeiten
Eine kürzliche Untersuchung von SentinelLabs beschreibt die von Zloader-Wartungspersonal angenommene neue Angriffsroutine. Insbesondere weichen Bedrohungsakteure von traditionellem Spam und Phishing ab und bevorzugen bösartige Google-Anzeigen. Forscher entdecken Microsoft TeamViewer, Zoom und Discord-Täuschungen, die verwendet werden, um Zloader zu verbreiten.
Microsoft weist auch darauf hin , dass dieser neue Zloader-Trend besagt, dass bösartige Google-Anzeigen Opfer auf betrügerische Webseiten leiten, die angeblich legitime Software hosten. Diese Websites verbreiten jedoch bösartige MSI-Installer, die Zloader-Payloads an die Opfer liefern. Solche Installer nutzen manipulierte Binärdateien und eine Reihe von LOLBAS, um die Schutzmechanismen zu überwinden.
Um dem bösartigen Code Legitimität zu verleihen, registrierten Zloader-Operatoren ein betrügerisches Unternehmen, um die Installer kryptografisch zu signieren. Seit August 2021 beobachten SentinelLabs-Forscher Binärdateien, die mit einem gültigen Zertifikat signiert sind, das von Flyintellect Inc, einem Softwareunternehmen aus Kanada, ausgestellt wurde.
Zusätzlich zu den neuartigen Zustellmethoden hat Zloader einen Mechanismus eingebaut, um Microsoft Defender Antivirus (früher bekannt als Windows Defender) zu deaktivieren. Insbesondere umfasst die neue Zloader-Payload-Ausführungskette mehrere Stufen. Der MSI-Installer fungiert als erster Stufen-Dropper, der ein dediziertes Verzeichnis erstellt, um eine .BAT-Datei abzulegen. Anschließend wird diese Datei mit Hilfe der Windows-cmd.exe-Funktion gestartet, um einen Downloader der zweiten Stufe herunterzuladen. Dieser Loader initiiert die dritte Stufe, indem er das Skript „updatescript.bat.“ einsetzt, das Microsoft Defender-Routinen deaktiviert und die Malware vor Antivirenprogrammen verbirgt. Gleichzeitig wird der vierte Stufen-Dropper in Form von „tim.exe“ heruntergeladen, der schließlich das Zloader-DLL als „tim.dll“ lädt.
Es ist erwähnenswert, dass die neue Infektionskette auf einer komplexen Infrastruktur beruht, um mit den Angriffen fortzufahren. Insbesondere nutzen Bedrohungsakteure das Tim-Botnetz, das über 350 verschiedene Webdomains umfasst, die während April-August 2021 registriert wurden.
Zloader-Detection
Alle Innovationen der Zloader-Infrastruktur und der Angriffsroutine weisen auf die wachsende Raffinesse der Malware-Fähigkeiten hin, wobei besonderer Wert auf heimliche Infektionen gelegt wird. Um mögliche Angriffe auf Ihre Unternehmensinfrastruktur zu erkennen, können Sie eine Reihe von Sigma-Regeln herunterladen, die von unseren Threat Bounty Entwicklern entwickelt wurden.
Microsoft 365 Defender-Hunting-Queries ZLoader-Kampagnen
Erkennung der Persistenz des ZLoader-Botnetzes
Die vollständige Liste der Erkennungen, die im Threat Detection Marketplace-Repository der SOC Prime-Plattform verfügbar sind, finden Sie hier.
Registrieren Sie sich auf der SOC Prime Plattform, um die Bedrohungserkennung einfacher, schneller und unkomplizierter zu gestalten. Suchen Sie sofort nach den neuesten Bedrohungen innerhalb von über 20 unterstützten SIEM- und XDR-Technologien, automatisieren Sie die Bedrohungsuntersuchung und erhalten Sie Feedback und Überprüfung von über 20.000 Community-Sicherheitsexperten, um Ihre Sicherheitsoperationen zu verbessern. Möchten Sie Ihren eigenen Erkennungsinhalt erstellen? Treten Sie unserem Threat Bounty-Programm bei, teilen Sie Ihre Sigma- und Yara-Regeln im Threat Detection Marketplace-Repository und erhalten Sie wiederkehrende Belohnungen für Ihren individuellen Beitrag!
