Contenu de Détection : Malspam Télécharge le Malware Zloader

[post-views]
mai 25, 2020 · 2 min de lecture
Contenu de Détection : Malspam Télécharge le Malware Zloader

Le cheval de Troie Zloader (également connu sous le nom de Zeus Sphinx et Terdot) a été initialement repéré en août 2015. Il est basé sur le code source divulgué du cheval de Troie Zeus v2 et les cybercriminels l’ont utilisé dans des attaques contre des organisations financières à travers le monde pour collecter des données sensibles via des injections web. Début 2018, l’utilisation de ce cheval de Troie bancaire s’est estompée, mais en décembre de l’année dernière, les attaquants ont commencé à l’utiliser à nouveau, et depuis lors, les chercheurs ont déjà découvert 25 nouvelles versions de Zloader.

Les chercheurs de Proofpoint ont repéré plus de 100 campagnes depuis janvier 2020 visant des utilisateurs aux États-Unis, au Canada, en Allemagne, en Pologne et en Australie. Les adversaires utilisent différentes leurres d’e-mails frauduleux, mais ces deux derniers mois, ils accordent une place de choix aux conseils de prévention des escroqueries COVID-19, aux tests COVID-19 et aux factures. La nouvelle version du cheval de Troie est moins sophistiquée car l’obscurcissement du code et le chiffrement des chaînes sont absents, ainsi que quelques autres fonctionnalités avancées que le cheval de Troie avait en 2018. Une règle Sigma communautaire récemment publiée par Emir Erdogan aide votre solution de sécurité à découvrir le malware Zloader à l’aide des journaux sysmon : https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1

 

La règle a des traductions pour les plateformes suivantes :

SIEM : Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR : Carbon Black, Elastic Endpoint

 

MITRE ATT&CK : 

Tactiques : Évasion de la défense, Découverte

Techniques : Modifier le registre (T1112), Interroger le registre (T1012)

 

Plus de règles pour détecter ce malware :

Téléchargements de documents XLS Zloader DLL par Emir Erdogan – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/

Détection du Zloader RAT par Ariel Millahuel – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/

Cheval de Troie Terdot par Ariel Millahuel – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Blog, Plateforme SOC Prime — 3 min de lecture
Le Prompting IA Personnalisé dans Uncoder AI permet la Génération de Détections à la Demande
Steven Edwards
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Blog, Dernières Menaces — 5 min de lecture
Détection des Activités du Groupe XE : Du Skimming de Carte de Crédit à l’Exploitation des Vulnérabilités Zero-Day CVE-2024-57968 et CVE-2025-25181 dans VeraCore
Veronika Telychko
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Blog, Dernières Menaces — 5 min de lecture
Détection de CVE-2025-0411 : les groupes cybercriminels russes exploitent une vulnérabilité Zero-Day dans 7-Zip pour cibler les organisations ukrainiennes
Veronika Telychko