Rilevare le campagne Zloader
Indice:
Il famigerato Trojan bancario Zloader è tornato con una nuova routine di attacco e capacità elusive. Le campagne più recenti di Zloader sfruttano un nuovo vettore di infezione passando dallo spam e il phishing a annunci Google malevoli. Inoltre, un meccanismo sofisticato per disabilitare i moduli di Microsoft Defender aiuta Zloader a passare inosservato.
Secondo i ricercatori, l’ultimo avvicendamento nelle capacità ha permesso a Zloader di beneficiare dei programmi ransomware-as-a-service (RaaS). Il 22 settembre 2021, l’Agenzia per la sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ha avvisato di un significativo aumento delle infezioni di ransomware Conti, con l’infrastruttura di Zloader utilizzata come canale di distribuzione primario.
Cos’è il Malware Zloader?
Zloader, noto anche come Tredot, è un successore malevolo del famigerato Trojan bancario Zeus operativo in campo dal 2006. Dopo che il codice sorgente di Zeus è stato rubato nel 2011, una serie di varianti si è diffusa nell’arena malevola, con Zloader essendo uno dei campioni più prolifici.
Inizialmente, il malware agiva come un malware bancario completamente funzionale, prendendo di mira organizzazioni finanziarie in Australia, Europa, Nord e Sud America. Le capacità di furto di informazioni erano potenziate da iniezioni web e tecniche di ingegneria sociale per rubare credenziali di accesso e altre informazioni sensibili da vittime ignare.
Zloader si è evoluto nel tempo per agire come un droppper multiuso potenziato con capacità di backdoor e accesso remoto. Negli ultimi anni sono state osservate molteplici campagne malevoli per distribuire campioni come Cobalt Strike, DarkSide, Ryuk, Egregor e Conti. Di conseguenza, il trojan ha guadagnato una forte reputazione tra gli affiliati dei ransomware e altri collettivi hacker come malware dropper.
Catena di infezione e capacità elusive di Zloader
Una recente indagine di SentinelLabs dettaglia la nuova routine di attacco adottata dai mantenitori di Zloader. In particolare, gli attori della minaccia si allontanano dallo spam tradizionale e phishing in favore di annunci Google malevoli. I ricercatori notano che vengono utilizzati esche di Microsoft, TeamViewer, Zoom e Discord per spingere Zloader.
Microsoft inoltre indica questa nuova tendenza Zloader dettagliando che gli annunci Google malevoli collegano le vittime a pagine web fraudolente che presumibilmente ospitano software legittimo. Tuttavia, questi siti spingono installer MSI malevoli che consegnano payloads di ZLoader alle vittime. Tali installer utilizzano binari compromessi e un set di LOLBAS per superare le protezioni.
Per aggiungere legittimità al codice malevolo, gli operatori di Zloader hanno registrato una compagnia fraudolenta per firmare crittograficamente gli installer. A partire da agosto 2021, i ricercatori di SentinelLabs hanno osservato binari firmati con un certificato valido prodotto da Flyintellect Inc, una compagnia software situata in Canada.
Oltre ai nuovi metodi di consegna, Zloader ha incorporato un meccanismo per disabilitare Microsoft Defender Antivirus (precedentemente noto come Windows Defender). In particolare, la nuova catena di esecuzione del payload di Zloader include diverse fasi. L’installer MSI agisce come un dropper di prima fase che crea una directory dedicata per rilasciare un file .BAT. Inoltre, questo file viene lanciato con l’aiuto della funzione Windows cmd.exe per scaricare un downloader di seconda fase. Questo loader inizia la terza fase spingendo lo script “updatescript.bat” che disabilita le routine di Microsoft Defender e nasconde il malware dall’antivirus. Allo stesso tempo, scarica il droppper della quarta fase in forma di “tim.exe”, che infine carica la DLL di Zloader come “tim.dll”.
Vale la pena notare che la nuova catena di infezione si basa su un’infrastruttura complessa per procedere con gli attacchi. In particolare, gli attori della minaccia usano il botnet Tim che incorpora oltre 350 diversi domini web registrati nel periodo aprile-agosto 2021.
Rilevamento di Zloader
Tutte le innovazioni all’infrastruttura di Zloader e alla routine di attacco indicano una crescente sofisticazione delle capacità del malware, con particolare enfasi sulle infezioni elusione. Per rilevare possibili attacchi contro l’infrastruttura della tua azienda, puoi scaricare un set di regole Sigma sviluppate dai nostri sviluppatori Threat Bounty.
Query per la caccia di Microsoft 365 Defender per campagne ZLoader
Caccia alla nuova catena di infezione Zloader modificando l’esclusione di Windows Defender AV
Rilevamento della persistenza del botnet ZLoader
L’elenco completo delle rilevazioni disponibile nel repository del Threat Detection Marketplace della piattaforma SOC Prime è disponibile qui.
Registrati alla piattaforma SOC Prime per rendere la tua rilevazione delle minacce più facile, veloce e semplice. Caccia istantaneamente le minacce più recenti all’interno di oltre 20 tecnologie SIEM & XDR supportate, automatizza l’investigazione delle minacce e ottieni feedback e valutazione da una comunità di oltre 20.000 professionisti della sicurezza per migliorare le tue operazioni di sicurezza. Desideri creare il tuo contenuto di rilevazione? Unisciti al nostro programma Threat Bounty, condividi le tue regole Sigma e Yara nel repository del Threat Detection Marketplace e ottieni ricompense ricorrenti per il tuo contributo individuale!
