Detección de campañas Zloader
Tabla de contenidos:
El notorio troyano bancario Zloader está de regreso con una nueva rutina de ataque y capacidades evasivas. Las últimas campañas de Zloader aprovechan un nuevo vector de infección, cambiando de correo no deseado y phishing a anuncios maliciosos de Google. Además, un sofisticado mecanismo para deshabilitar los módulos de Microsoft Defender ayuda a Zloader a pasar desapercibido.
Según los investigadores, el último cambio en las capacidades permitió a Zloader beneficiarse de los programas de ransomware como servicio (RaaS). El 22 de septiembre de 2021, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los EE. UU. (CISA) alertó sobre un aumento significativo en las infecciones de ransomware Conti, con la infraestructura de Zloader siendo utilizada como un canal de distribución principal.
¿Qué es el malware Zloader?
Zloader, también conocido como Tredot, es un sucesor malicioso del infame troyano bancario Zeus operando en la naturaleza desde 2006. Después de que el código fuente de Zeus se filtrara en 2011, un lote de variantes se expandió en el ámbito malicioso, y Zloader siendo una de las muestras más prolíficas.
Inicialmente, el malware actuaba como un malware bancario completamente funcional, apuntando a organizaciones financieras en Australia, Europa, América del Norte y América del Sur. Las capacidades de robo de información eran potenciadas por inyecciones web y trucos de ingeniería social para obtener credenciales de inicio de sesión y otra información sensible de víctimas desprevenidas.
Zloader evolucionó con el tiempo para actuar como un cargador multipropósito mejorado con capacidades de puerta trasera y acceso remoto. Durante los últimos años se observaron múltiples campañas maliciosas para entregar muestras como Cobalt Strike, DarkSide, Ryuk, Egregor y Conti. En consecuencia, el troyano ganó una sólida reputación entre los afiliados de ransomware y otros colectivos de hackers como un cargador de malware.
Cadena de infección de Zloader y capacidades evasivas
Una reciente investigación de SentinelLabs detalla la nueva rutina de ataque adoptada por los mantenedores de Zloader. En particular, los actores de amenazas se alejan del spam y phishing tradicionales a favor de anuncios maliciosos de Google. Los investigadores detectan que se utilizan señuelos de Microsoft’s TeamViewer, Zoom, y Discord para impulsar Zloader.
Microsoft también señala esta nueva tendencia de Zloader detallando que los anuncios maliciosos de Google enlazan a las víctimas a páginas web fraudulentas que supuestamente alojan software legítimo. Sin embargo, estos sitios web impulsan instaladores MSI maliciosos que entregan cargas útiles de ZLoader a las víctimas. Tales instaladores aprovechan binarios con puertas traseras y un conjunto de LOLBAS para superar las protecciones.
Para agregar legitimidad al código malicioso, los operadores de Zloader registraron una empresa fraudulenta para firmar los instaladores criptográficamente. A partir de agosto de 2021, los investigadores de SentinelLabs observan binarios firmados con un certificado válido producido por Flyintellect Inc, una empresa de software ubicada en Canadá.
Además de los nuevos métodos de entrega, Zloader incorporó un mecanismo para deshabilitar Microsoft Defender Antivirus (anteriormente conocido como Windows Defender). En particular, la nueva cadena de ejecución de carga útil de Zloader incluye varias etapas. El instalador MSI actúa como un cargador de primera etapa que crea un directorio dedicado para dejar un archivo .BAT. Posteriormente, este archivo se lanza con la ayuda de la función cmd.exe de Windows para descargar un descargador de segunda etapa. Este cargador inicia la tercera etapa empujando el script “updatescript.bat.” que desactiva las rutinas de Microsoft Defender y oculta el malware del antivirus. Simultáneamente, descarga el cargador de cuarta etapa en forma de “tim.exe” que finalmente carga el DLL de Zloader como “tim.dll.”
Cabe señalar que la nueva cadena de infección se basa en una infraestructura compleja para proceder con los ataques. En particular, los actores de amenazas utilizan la botnet Tim que incorpora más de 350 dominios web diferentes registrados durante abril-agosto de 2021.
Detección de Zloader
Todas las innovaciones en la infraestructura de Zloader y la rutina de ataque apuntan a la creciente sofisticación de las capacidades del malware, con énfasis particular en las infecciones sigilosas. Para detectar posibles ataques contra la infraestructura de su empresa, puede descargar un conjunto de reglas Sigma desarrolladas por nuestros desarrolladores de Threat Bounty.
Consultas de búsqueda de Microsoft 365 Defender para campañas de ZLoader
Cazando la nueva cadena de infección de Zloader modificando la exclusión de Windows Defender AV
Detección de persistencia de la botnet ZLoader
La lista completa de detecciones disponible en el repositorio de Threat Detection Marketplace de la plataforma SOC Prime está disponible aquí.
Regístrese en la plataforma SOC Prime para facilitar, acelerar y simplificar la detección de amenazas. Busque instantáneamente las últimas amenazas dentro de más de 20 tecnologías SIEM y XDR compatibles, automatice la investigación de amenazas y obtenga retroalimentación y validación de más de 20,000 profesionales de seguridad de la comunidad para impulsar sus operaciones de seguridad. ¿Desea crear su propio contenido de detección? Únase a nuestro programa Threat Bounty, comparta sus reglas Sigma y Yara en el repositorio de Threat Detection Marketplace y obtenga recompensas recurrentes por su contribución individual.
