„Microsoft“ įspėja apie naujas „ZLoader“ kenkėjiškų programų galimybes

„ZLoader“, iš pradžių bankinis Trojos arklys, peraugęs į kenkėjišką programinę įrangą, dabar išplėtė savo galimybes ir gali slėptis kenkėjiškose „Google“ reklamose.

„Microsoft Security Intelligence“ socialiniame tinkle „Twitter“ paskelbė įspėjimą apie „ZLoader“ kenkėjiškų programų pakeitimą. „Microsoft“ tyrėjai šį pakeitimą pavadino „pastebimu pristatymo metodo pakeitimu“. „ZLoader“ nuo kenkėjiškų šlamšto el. Pašto kampanijų perėjo prie piktnaudžiavimo reklamos platformomis.

Nauja „ZLoader“ valdančių žmonių naudojama taktika yra pirkti „Google“ skelbimus ir nustatyti juos nukreipti į svetaines, kuriose yra diegimo programos, imituojančios teisėtą programinę įrangą, o iš tikrųjų diegimo paketai yra kenkėjiškos programos.

„Microsoft“ taip pat išsamiai nurodė, kad dėl naujo požiūrio reikėjo sukurti suklastotą netikrą įmonės subjektą, naudojamą norint nusipirkti skelbimo erdvę, nukreipiančią į kenkėjiškas svetaines. Kai aukos spustelės blogus skelbimus ir kenkėjiška programa įsiskverbs į jų sistemas, kampanijos operatoriai gali parduoti prieigą prie užkrėstų įrenginių suinteresuotoms trečiosioms šalims.

Natūralu, kad „Microsoft“ pranešė „Google“ apie šį išnaudojantį elgesį, o „ZLoader“ naudojimas kenkėjiškose „Google“ reklamose gerokai sumažėjo.

„ZLoader“ pradėjo veikti kaip kenkėjiškas bankų Trojos įrankių rinkinys, kuris buvo naudojamas slaptažodžiams ir kitiems naršyklės duomenims pavogti, tačiau vėliau vystėsi. Kenkėjiška programa taip pat pradėjo teikti išpirkos programas, ypač „Conti“ išpirkos programinę įrangą. Į įrankių rinkinį, įtrauktą į „ZLoader“, taip pat įeina į galines duris panašios galimybės, leidžiančios jos operatoriams įdiegti tolesnę kenkėjišką programą užkrėstuose įrenginiuose.

„Microsoft“ pastebėjo, kad „ZLoader“ taip pat buvo naudojamas platinti liūdnai pagarsėjusią „Ryuk“ išpirkos programinę įrangą naujausioje raidoje, neseniai vykusioje kampanijoje, kurioje piktnaudžiaujama „Google“ skelbimais. „ZLoader“ taip pat gali vykdyti „Windows PowerShell“ komandas, kad išjungtų apsaugą nuo užkrėstos sistemos.