Détecter les campagnes Zloader
Table des matières :
Le tristement célèbre cheval de Troie bancaire Zloader est de retour avec une toute nouvelle routine d’attaque et des capacités d’évasion. Les dernières campagnes de Zloader exploitent un nouveau vecteur d’infection, passant du spam et du phishing aux publicités malveillantes sur Google. De plus, un mécanisme sophistiqué pour désactiver les modules de Microsoft Defender aide Zloader à passer sous les radars.
Selon les chercheurs, le dernier changement de capacités a permis à Zloader de bénéficier des programmes de ransomware-as-a-service (RaaS). Le 22 septembre 2021, l’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a alerté d’une augmentation significative des infections par le ransomware Conti, avec l’infrastructure de Zloader utilisée comme principal canal de distribution.
Qu’est-ce que le Malware Zloader ?
Zloader, également connu sous le nom de Tredot, est un successeur malveillant de l’infâme cheval de Troie bancaire Zeus opérant dans la nature depuis 2006. Après que le code source de Zeus ait été divulgué en 2011, une série de variantes s’est répandue dans l’arène malveillante, avec Zloader étant l’un des échantillons les plus prolifiques.
Initialement, le malware agissait comme un malware bancaire entièrement fonctionnel, ciblant des organisations financières à travers l’Australie, l’Europe, l’Amérique du Nord et du Sud. Les capacités de vol d’informations étaient alimentées par des injections Web et des astuces d’ingénierie sociale pour collecter les identifiants de connexion et d’autres informations sensibles auprès des victimes peu méfiantes.
Zloader a évolué au fil du temps pour agir comme un téléchargeur polyvalent amélioré avec des capacités de porte dérobée et d’accès à distance. Au cours des dernières années, de multiples campagnes malveillantes ont été observées pour livrer de tels échantillons que Cobalt Strike, DarkSide, Ryuk, Egregor, et Conti. En conséquence, le cheval de Troie a acquis une forte réputation parmi les affiliés de ransomwares et d’autres collectifs de piratage en tant que téléchargeur de malware.
Chaîne d’infection Zloader et capacités d’évasion
Une récente enquête conduite par SentinelLabs détaille la nouvelle routine d’attaque adoptée par les gestionnaires de Zloader. En particulier, les acteurs de la menace s’éloignent du spam et du phishing traditionnels en faveur des annonces malveillantes sur Google. Les chercheurs repèrent des leurres utilisant Microsoft TeamViewer, Zoom et Discord pour pousser Zloader.
Microsoft souligne également cette nouvelle tendance de Zloader détaillant que les annonces malveillantes sur Google dirigent les victimes vers des pages Web frauduleuses qui hébergent prétendument des logiciels légitimes. Cependant, ces sites Web diffusent des installateurs MSI malveillants qui livrent les charges utiles de ZLoader aux victimes. Ces installateurs exploitent des binaires compromis et un ensemble de LOLBAS pour contourner les protections.
Pour ajouter de la légitimité au code malveillant, les opérateurs de Zloader ont enregistré une entreprise frauduleuse pour signer cryptographiquement les installateurs. À partir d’août 2021, les chercheurs de SentinelLabs observent des binaires signés avec un certificat valide produit par Flyintellect Inc, une société de logiciels située au Canada.
En plus des nouvelles méthodes de livraison, Zloader a incorporé un mécanisme pour désactiver l’Antivirus Microsoft Defender (anciennement connu sous le nom de Windows Defender). En particulier, la nouvelle chaîne d’exécution de la charge utile de Zloader comprend plusieurs étapes. L’installateur MSI agit comme un téléchargeur de première étape qui crée un répertoire dédié pour déposer un fichier .BAT. De plus, ce fichier est lancé à l’aide de la fonction Windows cmd.exe pour télécharger un téléchargeur de seconde étape. Ce chargeur initie la troisième étape en poussant le script “updatescript.bat.” qui désactive les routines de Microsoft Defender et cache le malware de l’antivirus. Simultanément, il télécharge le téléchargeur de quatrième étape sous la forme de “tim.exe” qui charge finalement la DLL Zloader sous le nom de “tim.dll.”
Il est à noter que la nouvelle chaîne d’infection repose sur une infrastructure complexe pour poursuivre les attaques. En particulier, les acteurs de la menace utilisent le botnet Tim qui intègre plus de 350 différents domaines Web enregistrés entre avril et août 2021.
Détection de Zloader
Toutes les innovations apportées à l’infrastructure de Zloader et à la routine d’attaque soulignent la sophistication croissante des capacités du malware, avec un accent particulier sur les infections furtives. Pour détecter d’éventuelles attaques contre l’infrastructure de votre entreprise, vous pouvez télécharger un ensemble de règles Sigma développées par nos développeurs Threat Bounty.
Requêtes de chasse Microsoft 365 Defender Campagnes ZLoader
Détection de la persistance du botnet ZLoader
La liste complète des détections disponibles dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime est disponible ici.
Inscrivez-vous sur la plateforme SOC Prime pour simplifier, accélérer et faciliter la détection des menaces. Recherchez instantanément les dernières menaces parmi plus de 20 technologies SIEM et XDR prises en charge, automatisez l’enquête sur les menaces et obtenez des retours et une vérification par 20 000+ professionnels de la sécurité pour renforcer vos opérations de sécurité. Désireux de créer votre propre contenu de détection? Rejoignez notre programme Threat Bounty, partagez vos règles Sigma et Yara dans le référentiel Threat Detection Marketplace et obtenez des récompenses récurrentes pour votre contribution individuelle!
