O Trojan Zloader (também conhecido como Zeus Sphinx e Terdot) foi inicialmente detectado em agosto de 2015. Ele é baseado no código-fonte vazado do Trojan Zeus v2 e os cibercriminosos o utilizaram em ataques a organizações financeiras em todo o mundo, coletando dados sensíveis por meio de injeções web. No início de 2018, o uso deste Trojan bancário em campo diminuiu, mas em dezembro do ano passado, os atacantes começaram a usá-lo novamente e, desde então, pesquisadores já descobriram 25 novas versões do Zloader.
Pesquisadores da Proofpoint detectaram mais de 100 campanhas desde janeiro de 2020 que foram direcionadas a usuários nos Estados Unidos, Canadá, Alemanha, Polônia e Austrália. Os adversários usam diferentes iscas fraudulentas por email, mas nos últimos dois meses, eles deram destaque a dicas de prevenção de golpes relacionados à COVID-19, testes de COVID-19 e faturas. A nova versão do trojan é menos sofisticada, pois a ofuscação de código e a criptografia de strings estão ausentes, assim como alguns outros recursos avançados que o Trojan tinha em 2018. A regra Sigma recentemente lançada pela comunidade por Emir Erdogan ajuda sua solução de segurança a descobrir o malware Zloader com a ajuda dos logs do sysmon: https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1
A regra tem traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Táticas: Evasão de defesa, Descoberta
Técnicas: Modificar Registro (T1112), Consultar Registro (T1012)
Mais regras para detectar este malware:
Downloads de documentos XLS Zloader DLL por Emir Erdogan – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/
Detecção de Zloader RAT por Ariel Millahuel – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/
Terdot Trojan por Ariel Millahuel – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/
