Microsoft mette in guardia sulle nuove funzionalità di ZLoader Malware
ZLoader, originariamente un trojan bancario che si è evoluto in malware per la distribuzione di ransomware, ha ora ampliato ulteriormente le sue capacità e può nascondersi in annunci Google dannosi.
Microsoft Security Intelligence ha twittato un avvertimento sull'approccio mutevole del malware ZLoader. I ricercatori Microsoft hanno definito il cambiamento un "notevole cambiamento nel metodo di consegna". ZLoader è passato da campagne e-mail di spam dannose allo sfruttamento abusivo di piattaforme pubblicitarie.
La nuova tattica utilizzata dalle persone che gestiscono ZLoader consiste nell'acquistare annunci Google e configurarli in modo che puntino a siti Web che ospitano programmi di installazione che imitano software legittimo, mentre in realtà i pacchetti di installazione sono malware.
Microsoft ha inoltre specificato che il nuovo approccio richiedeva la creazione di una società fittizia falsa utilizzata per acquistare lo spazio pubblicitario che si collegava ai siti Web dannosi. Una volta che le vittime fanno clic sugli annunci dannosi e il malware si insinua nei loro sistemi, gli operatori della campagna possono vendere l'accesso ai dispositivi infetti a terze parti interessate.
Naturalmente, Microsoft ha segnalato questo comportamento di sfruttamento a Google e l'uso di ZLoader negli annunci Google dannosi è diminuito in modo significativo.
ZLoader è iniziato come un toolkit dannoso Trojan bancario utilizzato per rubare password e altri dati del browser, ma in seguito si è evoluto. Il malware ha iniziato anche a distribuire ransomware, in particolare il ransomware Conti. Il toolkit incluso in ZLoader include anche funzionalità simili a backdoor che consentono ai suoi operatori di installare ulteriore malware sui dispositivi infetti.
Microsoft ha notato che ZLoader veniva utilizzato anche per distribuire il famigerato ransomware Ryuk nella sua ultima evoluzione, nella recente campagna che ha abusato degli annunci di Google. ZLoader può anche eseguire comandi di Windows PowerShell per disabilitare le difese di sicurezza sul sistema infetto.