検知コンテンツ: マルスパムがZloaderマルウェアをダウンロード

Zloaderトロイの木馬（Zeus SphinxおよびTerdotとしても知られる）は、2015年8月に初めて発見されました。これはZeus v2トロイの木馬の流出したソースコードに基づいており、サイバー犯罪者が世界中の金融機関を攻撃する際に使用し、ウェブインジェクションを通じて機密データを収集しました。2018年初頭には、このバンキングトロイの木馬の野外での使用は減少しましたが、昨年12月に攻撃者が再び使用し始め、以来、研究者たちはすでに25の新しいバージョンのZloaderを発見しています。

Proofpointの研究者たちは 発見しました 2020年1月以降、アメリカ合衆国、カナダ、ドイツ、ポーランド、オーストラリアのユーザーを対象とした100以上のキャンペーンが展開されていることを。敵対者たちは様々な詐欺的なメール誘引を使用していますが、ここ2ヶ月間では、COVID-19詐欺予防のヒント、COVID-19検査、および請求書に重きを置いています。トロイの木馬の新しいバージョンは、コード難読化や文字列暗号化が欠落しており、2018年にトロイの木馬が持っていた他のいくつかの高度な機能も欠けています。最近公開された Emir Erdogan によるコミュニティSigmaルールは、sysmonログを使用してZloaderマルウェアを発見するのに役立ちます： https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1

このルールは以下のプラットフォームに対する翻訳を持っています：

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

戦術: 逃避防御, 情報収集

技術: レジストリの変更 (T1112), レジストリのクエリ (T1012)

このマルウェアを検出するためのさらなるルール：

XLSドキュメントがZloader DLLをダウンロード Emir Erdoganによる – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/

Zloader RATの検出 Ariel Millahuelによる – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/

Terdotトロイの木馬 Ariel Millahuelによる – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/