Η Microsoft προειδοποιεί για τις νέες δυνατότητες του ZLoader Malware
Το ZLoader, αρχικά ένα τραπεζικό Trojan που εξελίχθηκε σε κακόβουλο λογισμικό που παρέχει ransomware, έχει τώρα επεκτείνει περαιτέρω τις δυνατότητές του και μπορεί να κρύβεται σε κακόβουλες διαφημίσεις Google.
Η Microsoft Security Intelligence έστειλε μέσω tweet μια προειδοποίηση σχετικά με την μεταβαλλόμενη προσέγγιση του κακόβουλου λογισμικού ZLoader. Οι ερευνητές της Microsoft χαρακτήρισαν την αλλαγή "αξιοσημείωτη αλλαγή στη μέθοδο παράδοσης". Το ZLoader έχει μετακινηθεί από κακόβουλες καμπάνιες για ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου στην καταχρηστική εκμετάλλευση διαφημιστικών πλατφορμών.
Η νέα τακτική που χρησιμοποιούν τα άτομα που χρησιμοποιούν το ZLoader είναι να αγοράζουν διαφημίσεις Google και να τις ρυθμίζουν ώστε να δείχνουν ιστότοπους που φιλοξενούν εγκαταστάτες που μιμούνται νόμιμο λογισμικό, ενώ στην πραγματικότητα τα πακέτα εγκατάστασης είναι κακόβουλο λογισμικό.
Η Microsoft πρόσθεσε λεπτομερώς ότι η νέα προσέγγιση απαιτούσε τη δημιουργία ψεύτικης οντότητας εταιρείας που χρησιμοποιείται για την αγορά του διαφημιστικού χώρου που συνδέεται με τους κακόβουλους ιστότοπους. Μόλις τα θύματα κάνουν κλικ στις κακές διαφημίσεις και το κακόβουλο λογισμικό εμφανιστεί στα συστήματά τους, οι χειριστές της καμπάνιας μπορούν να πουλήσουν πρόσβαση σε μολυσμένες συσκευές σε ενδιαφερόμενα τρίτα μέρη.
Φυσικά, η Microsoft ανέφερε αυτήν την εκμεταλλευτική συμπεριφορά στην Google και η χρήση του ZLoader σε κακόβουλες διαφημίσεις Google μειώθηκε σημαντικά.
Το ZLoader ξεκίνησε ως κακόβουλη εργαλειοθήκη τραπεζικού Trojan που χρησιμοποιήθηκε για την κλοπή κωδικών πρόσβασης και άλλων δεδομένων του προγράμματος περιήγησης, αλλά αργότερα εξελίχθηκε. Το κακόβουλο λογισμικό άρχισε επίσης να παρέχει ransomware, ιδίως το Conti ransomware. Η εργαλειοθήκη που περιλαμβάνεται στο ZLoader περιλαμβάνει επίσης δυνατότητες που μοιάζουν με backdoor που επιτρέπουν στους χειριστές του να εγκαταστήσουν επιπλέον κακόβουλο λογισμικό σε μολυσμένες συσκευές.
Η Microsoft εντόπισε το ZLoader επίσης να χρησιμοποιείται για τη διανομή του διαβόητου ransomware Ryuk στην τελευταία του εξέλιξη, στην πρόσφατη καμπάνια που καταχράστηκε τις διαφημίσεις Google. Το ZLoader μπορεί επίσης να εκτελέσει εντολές Windows PowerShell για να απενεργοποιήσει τις άμυνες ασφαλείας στο μολυσμένο σύστημα.
