Troyano bancario peligroso en los anuncios de Google en los resultados de búsqueda

Si busca el software TeamViewer en motores de búsqueda como Google, es posible que encuentre enlaces que podrían llevarlo a sitios falsos de malware. ZLoader que de alguna manera se las arregla para evitar el software antivirus en los sistemas.

“El malware se tomó de un anuncio de Google publicado a través de Google Adwords”, dijeron los investigadores de SentinelOne en reporte publicado el lunes. “En esta campaña, los atacantes utilizan una forma indirecta de comprometer a las víctimas en lugar de utilizar el enfoque clásico de comprometer directamente a las víctimas, como suplantación de identidad. “

Descubierto por primera vez en agosto de 2015, ZLoader (también conocido como Silent Night y ZBot) es un troyano bancario que, como los troyanos Zeus Panda y Floki Bot, se originó en el código de otro troyano bancario llamado ZeuS que es filtrado en 2011, con versiones más nuevas que implementan un módulo VNC que permite a los atacantes acceder de forma remota a los sistemas de las víctimas. El malware está en constante evolución y el resultado es una serie de variantes que han aparecido en los últimos años.

Aunque ZLoader es conocido por sus ataques a bancos de todo el mundo, las víctimas de la última ola de ataques parecen ser principalmente usuarios de bancos australianos y alemanes, y el objetivo principal de los ciberdelincuentes es robar datos para informar cuentas bancarias. Pero la campaña también es digna de mención por los pasos que toma el malware para permanecer bajo el radar, incluida la desactivación de Microsoft Defender Antivirus (anteriormente Windows Defender).

Según las estadísticas de Microsoft, Microsoft Defender Antivirus es una solución anti-malware instalada en más de mil millones de sistemas Windows 10.

La cadena de infección comienza cuando un usuario hace clic en un anuncio mostrado por Google en una página de resultados de búsqueda, que redirige a la víctima a un sitio falso de TeamViewer controlado por el atacante. De esta manera, se engañó a la víctima para que descargara una versión falsa pero firmada del software (“Team-Viewer.msi”). Un archivo de instalación falso es un ataque de cuentagotas de primera fase que desencadena una serie de acciones que implican descargar un cuentagotas de la siguiente fase destinado a comprometer las defensas de la computadora y finalmente descargar la DLL de ZLoader. payloada (“Equipo.dll”).

El malware primero deshabilita todos los módulos de Windows Defender y luego agrega excepciones, como regsvr32, * .exe, * .dll para ocultar todos sus componentes de Windows Defender.

Los investigadores dicen que además de TeamViewer, los atacantes usan Discord y Zoom como cebo.

ZLoader también se ha utilizado recientemente para infectar sistemas con ransomware como Ryuk o Egregor. ZLoader tiene capacidades de acceso remoto y de puerta trasera, y también se puede usar para cargar otro malware en dispositivos infectados.



Source: Informacija.rs by www.informacija.rs.

*The article has been translated based on the content of Informacija.rs by www.informacija.rs. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!