Microsoft met en garde contre les nouvelles fonctionnalités de ZLoader Malware
ZLoader, à l'origine un cheval de Troie bancaire qui s'est transformé en malware livrant des ransomwares, a maintenant étendu ses capacités et peut se cacher dans les publicités Google malveillantes.
Microsoft Security Intelligence a tweeté un avertissement concernant l'approche changeante du malware ZLoader. Les chercheurs de Microsoft ont qualifié ce changement de "changement notable dans la méthode de livraison". ZLoader est passé des campagnes de spam malveillantes à l'exploitation abusive des plateformes publicitaires.
La nouvelle tactique utilisée par les personnes qui exploitent ZLoader consiste à acheter des publicités Google et à les configurer pour qu'elles pointent vers des sites Web qui hébergent des installateurs imitant des logiciels légitimes, alors qu'en réalité, les packages d'installation sont des logiciels malveillants.
Microsoft a en outre précisé que la nouvelle approche nécessitait la mise en place d'une fausse entité de société fictive qui est utilisée pour acheter l'espace publicitaire lié aux sites Web malveillants. Une fois que les victimes ont cliqué sur les mauvaises publicités et que le logiciel malveillant s'est installé sur leurs systèmes, les opérateurs de campagne peuvent vendre l'accès aux appareils infectés à des tiers intéressés.
Naturellement, Microsoft a signalé ce comportement d'exploitation à Google et l'utilisation de ZLoader dans les publicités Google malveillantes a considérablement diminué.
ZLoader a commencé comme une boîte à outils malveillante de cheval de Troie bancaire utilisée pour voler des mots de passe et d'autres données de navigateur, mais a évolué par la suite. Le malware a également commencé à fournir des ransomwares, notamment le ransomware Conti. La boîte à outils incluse dans ZLoader comprend également des fonctionnalités de type porte dérobée qui permettent à ses opérateurs d'installer d'autres logiciels malveillants sur les appareils infectés.
Microsoft a repéré que ZLoader était également utilisé pour distribuer le tristement célèbre ransomware Ryuk dans sa dernière évolution, dans la récente campagne qui a abusé des publicités Google. ZLoader peut également exécuter des commandes Windows PowerShell pour désactiver les défenses de sécurité sur le système infecté.