Contenido de Detección: Malspam Descarga el Malware Zloader

[post-views]
mayo 25, 2020 · 2 min de lectura
Contenido de Detección: Malspam Descarga el Malware Zloader

El troyano Zloader (también conocido como Zeus Sphinx y Terdot) fue detectado por primera vez en agosto de 2015. Está basado en el código fuente filtrado del troyano Zeus v2 y los cibercriminales lo usaron en ataques a organizaciones financieras en todo el mundo recopilando datos sensibles mediante inyecciones web. A principios de 2018, el uso de este troyano bancario en el campo desapareció, pero en diciembre del año pasado, los atacantes comenzaron a usarlo de nuevo, y desde entonces, los investigadores ya han descubierto 25 versiones nuevas de Zloader.

Investigadores en Proofpoint detectaron más de 100 campañas desde enero de 2020 que estaban dirigidas a usuarios en Estados Unidos, Canadá, Alemania, Polonia y Australia. Los adversarios usan diferentes señuelos de correo electrónico fraudulentos, pero durante los últimos dos meses, han dado prioridad a consejos de prevención de estafas relacionadas con COVID-19, pruebas de COVID-19 y facturas. La nueva versión del troyano es menos sofisticada ya que la ofuscación del código y la encriptación de cadenas están ausentes, así como algunas otras características avanzadas que el troyano tenía en 2018. La regla comunitaria Sigma recientemente publicada por Emir Erdogan ayuda a su solución de seguridad a descubrir el malware Zloader con la ayuda de los registros de sysmon: https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1

 

La regla tiene traducciones para las siguientes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Tácticas: Evasión de Defensa, Descubrimiento

Técnicas: Modificar Registro (T1112), Consultar Registro (T1012)

 

Más reglas para detectar este malware:

Descargas de Documento XLS Zloader DLL por Emir Erdogan – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/

Detección de RAT Zloader por Ariel Millahuel – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/

Troyano Terdot por Ariel Millahuel – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Blog, Plataforma SOC Prime — 2 min de lectura
La Generación de Detección bajo Demanda ahora es posible gracias a la Solicitud Personalizada de IA en Uncoder AI
Steven Edwards
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Blog, Últimas Amenazas — 4 min de lectura
Detección de Actividad del Grupo XE: Desde Skimming de Tarjetas de Crédito hasta la Explotación de Vulnerabilidades Zero-Day CVE-2024-57968 y CVE-2025-25181 en VeraCore
Veronika Telychko
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Blog, Últimas Amenazas — 5 min de lectura
Detección de CVE-2025-0411: Grupos de Ciberdelincuentes Rusos Se Apoyan en Vulnerabilidad Zero-Day en 7-Zip para Atacar Organizaciones Ucranianas
Veronika Telychko