Detectando Campanhas Zloader
Índice:
O famoso cavalo de Troia bancário Zloader está de volta com uma nova rotina de ataque e capacidades evasivas. As campanhas mais recentes do Zloader aproveitam um novo vetor de infecção, mudando de spam e phishing para anúncios maliciosos do Google. Além disso, um mecanismo sofisticado para desativar os módulos do Microsoft Defender ajuda o Zloader a passar despercebido.
De acordo com os pesquisadores, a última mudança nas capacidades permitiu que o Zloader se beneficiasse dos programas de ransomware-como-serviço (RaaS). Em 22 de setembro de 2021, a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou sobre um aumento significativo nas infecções por ransomware Conti, com a infraestrutura do Zloader sendo usada como um canal de distribuição primário.
O que é o Malware Zloader?
Zloader, também conhecido como Tredot, é um sucessor malicioso do infame cavalo de Troia bancário Zeus, que opera na natureza desde 2006. Após o vazamento do código-fonte do Zeus em 2011, uma série de variantes se espalhou pela arena maliciosa, com o Zloader sendo uma das amostras mais prolíficas.
Inicialmente, o malware atuava como um malware bancário totalmente funcional, visando organizações financeiras na Austrália, Europa, América do Norte e do Sul. As capacidades de roubo de informações eram alimentadas por injeções na web e truques de engenharia social para extrair credenciais de login e outras informações confidenciais de vítimas desprevenidas.
O Zloader evoluiu ao longo do tempo para atuar como um carregador multifuncional aprimorado com capacidades de backdoor e acesso remoto. Nos últimos anos, várias campanhas maliciosas foram observadas para entregar amostras como Cobalt Strike, DarkSide, Ryuk, Egregor e Conti. Consequentemente, o Trojan ganhou uma forte reputação entre afiliados de ransomware e outras coletivas de hackers como um carregador de malware.
Cadeia de Infecção do Zloader e Capacidades Evasivas
Uma recente investigação da SentinelLabs detalha a nova rotina de ataque adotada pelos mantenedores do Zloader. Em particular, os atores de ameaça se afastam do spam e phishing tradicionais em favor de anúncios maliciosos do Google. Pesquisadores destacam que iscas como Microsoft’s TeamViewer, Zoom e Discord estão sendo usadas para empurrar o Zloader.
A Microsoft também aponta para esta nova tendência do Zloader, detalhando que anúncios maliciosos do Google levam as vítimas a páginas da web fraudulentas que supostamente hospedam software legítimo. No entanto, esses sites distribuem instaladores MSI maliciosos que entregam cargas do ZLoader às vítimas. Tais instaladores aproveitam binários comprometidos e um conjunto de LOLBAS para superar as proteções.
Para adicionar legitimidade ao código malicioso, os operadores do Zloader registraram uma empresa fraudulenta para assinar os instaladores criptograficamente. A partir de agosto de 2021, os pesquisadores da SentinelLabs observam binários assinados com um certificado válido produzido pela Flyintellect Inc, uma empresa de software localizada no Canadá.
Além dos métodos de entrega inovadores, o Zloader incorporou um mecanismo para desativar o Microsoft Defender Antivirus (anteriormente conhecido como Windows Defender). Em particular, a nova cadeia de execução de carga útil do Zloader inclui várias etapas. O instalador MSI atua como um dropper de primeira etapa que cria um diretório dedicado para soltar um arquivo .BAT. Além disso, este arquivo é lançado com a ajuda da função cmd.exe do Windows para baixar um downloader de segunda etapa. Este loader inicia a terceira etapa empurrando o script “updatescript.bat.” que desabilita as rotinas do Microsoft Defender e esconde o malware do antivírus. Simultaneamente, ele baixa o dropper da quarta etapa na forma de “tim.exe” que finalmente carrega a DLL Zloader como “tim.dll.”
Vale notar que a nova cadeia de infecção depende de uma infraestrutura complexa para prosseguir com os ataques. Em particular, os atores de ameaça utilizam o botnet Tim que incorpora mais de 350 domínios web diferentes registrados durante abril-agosto de 2021.
Detecção de Zloader
Todas as inovações na infraestrutura e rotina de ataque do Zloader apontam para a crescente sofisticação das capacidades do malware, com ênfase particular em infecções furtivas. Para detectar possíveis ataques contra a infraestrutura de sua empresa, você pode baixar um conjunto de regras Sigma desenvolvidas por nossos desenvolvedores de Recompensa de Ameaças.
Consultas de Caça da Microsoft 365 Defender em Campanhas ZLoader
Caçando a Nova Cadeia de Infecção do Zloader Modificando a Exclusão do Windows Defender AV
Detecção de Persistência do Botnet ZLoader
A lista completa de detecções disponível no repositório do Threat Detection Marketplace da plataforma SOC Prime está disponível aqui.
Registre-se na plataforma SOC Prime para facilitar, acelerar e simplificar a detecção de ameaças. Cace instantaneamente as ameaças mais recentes em mais de 20 tecnologias SIEM & XDR suportadas, automatize a investigação de ameaças e obtenha feedback e revisão de 20.000+ membros da comunidade de profissionais de segurança para impulsionar suas operações de segurança. Ansioso para criar seu próprio conteúdo de detecção? Junte-se ao nosso programa de Recompensa de Ameaças, compartilhe suas regras Sigma e Yara no repositório do Threat Detection Marketplace, e receba recompensas recorrentes por sua contribuição individual!
