Conteúdo de Detecção: Malspam Baixa Malware Zloader

[post-views]
Maio 25, 2020 · 2 min de leitura
Conteúdo de Detecção: Malspam Baixa Malware Zloader

O Trojan Zloader (também conhecido como Zeus Sphinx e Terdot) foi inicialmente detectado em agosto de 2015. Ele é baseado no código-fonte vazado do Trojan Zeus v2 e os cibercriminosos o utilizaram em ataques a organizações financeiras em todo o mundo, coletando dados sensíveis por meio de injeções web. No início de 2018, o uso deste Trojan bancário em campo diminuiu, mas em dezembro do ano passado, os atacantes começaram a usá-lo novamente e, desde então, pesquisadores já descobriram 25 novas versões do Zloader.

Pesquisadores da Proofpoint detectaram mais de 100 campanhas desde janeiro de 2020 que foram direcionadas a usuários nos Estados Unidos, Canadá, Alemanha, Polônia e Austrália. Os adversários usam diferentes iscas fraudulentas por email, mas nos últimos dois meses, eles deram destaque a dicas de prevenção de golpes relacionados à COVID-19, testes de COVID-19 e faturas. A nova versão do trojan é menos sofisticada, pois a ofuscação de código e a criptografia de strings estão ausentes, assim como alguns outros recursos avançados que o Trojan tinha em 2018. A regra Sigma recentemente lançada pela comunidade por Emir Erdogan ajuda sua solução de segurança a descobrir o malware Zloader com a ajuda dos logs do sysmon: https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1

 

A regra tem traduções para as seguintes plataformas:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

Táticas: Evasão de defesa, Descoberta

Técnicas: Modificar Registro (T1112), Consultar Registro (T1012)

 

Mais regras para detectar este malware:

Downloads de documentos XLS Zloader DLL por Emir Erdogan – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/

Detecção de Zloader RAT por Ariel Millahuel – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/

Terdot Trojan por Ariel Millahuel – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Blog, Plataforma SOC Prime — 3 min de leitura
A Solicitação de IA Personalizada no Uncoder AI Permite a Geração de Detecção Sob Demanda
Steven Edwards
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Ameaças Mais Recentes, Blog — 4 min de leitura
Detecção de Atividades do Grupo XE: Da Cópia de Cartões de Crédito à Exploração de Vulnerabilidades Zero-Day CVE-2024-57968 e CVE-2025-25181 no VeraCore
Veronika Telychko
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Ameaças Mais Recentes, Blog — 5 min de leitura
Detecção da CVE-2025-0411: Grupos Cibercriminosos Russos Dependem de Vulnerabilidade Zero-Day no 7-Zip para Alvo em Organizações Ucranianas
Veronika Telychko