Erkennungsinhalt: Malspam lädt Zloader-Malware herunter

[post-views]
Mai 25, 2020 · 2 min zu lesen
Erkennungsinhalt: Malspam lädt Zloader-Malware herunter

Der Zloader-Trojaner (auch bekannt als Zeus Sphinx und Terdot) wurde erstmals im August 2015 entdeckt. Er basiert auf dem geleakten Quellcode des Zeus v2-Trojaners und wurde von Cyberkriminellen bei Angriffen auf Finanzorganisationen weltweit eingesetzt, um über Web-Injections sensible Daten zu sammeln. Anfang 2018 verschwand der Einsatz dieses Banking-Trojaners in freier Wildbahn, aber im Dezember letzten Jahres begannen Angreifer erneut, ihn zu nutzen, und seitdem haben Forscher bereits 25 neue Versionen von Zloader entdeckt.

Forscher bei Proofpoint entdeckten über 100 Kampagnen seit Januar 2020, die auf Nutzer in den USA, Kanada, Deutschland, Polen und Australien abzielten. Die Angreifer nutzen verschiedene betrügerische E-Mail-Lockmittel, aber in den letzten zwei Monaten geben sie COVID-19-Betrugspräventionstipps, COVID-19-Tests und Rechnungen den Vorzug. Die neue Version des Trojaners ist weniger ausgeklügelt, da Code-Verschleierung und Zeichenkettenverschlüsselung fehlen sowie einige andere erweiterte Funktionen, die der Trojaner 2018 hatte. Die kürzlich veröffentlichte Sigma-Regel von Emir Erdogan hilft Ihrer Sicherheitslösung, Zloader-Malware mithilfe von Sysmon-Protokollen zu entdecken: https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1

 

Die Regel hat Übersetzungen für die folgenden Plattformen:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Taktiken: Umgehung der Verteidigung, Entdeckung

Techniken: Registrierung verändern (T1112), Registrierung abfragen (T1012)

 

Weitere Regeln zur Erkennung dieser Malware:

XLS-Dokument lädt Zloader-DLL herunter von Emir Erdogan – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/

Zloader RAT-Erkennung von Ariel Millahuel – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/

Terdot Trojaner von Ariel Millahuel – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.
Kostenlos beitreten Ein Treffen buchen

Verwandte Beiträge

Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Blog, SOC Prime Plattform — 2 min zu lesen
Benutzerdefinierte KI-Aufforderungen in Uncoder AI ermöglichen On-Demand-Erkennungsgenerierung
Steven Edwards
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Blog, Neueste Bedrohungen — 4 min zu lesen
XE-Gruppenaktivitätserkennung: Von Kreditkarten-Skimming bis zur Ausnutzung der CVE-2024-57968 und CVE-2025-25181 VeraCore Zero-Day-Schwachstellen
Veronika Telychko
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Blog, Neueste Bedrohungen — 4 min zu lesen
CVE-2025-0411 Erkennung: Russische Cybercrime-Gruppen nutzen Zero-Day-Schwachstelle in 7-Zip, um ukrainische Organisationen anzugreifen
Veronika Telychko