Microsoft waarschuwt voor de nieuwe mogelijkheden van ZLoader Malware
ZLoader, oorspronkelijk een bancaire trojan die evolueerde naar malware die ransomware afleverde, heeft nu zijn mogelijkheden verder uitgebreid en kan zich verbergen in kwaadaardige Google-advertenties.
Microsoft Security Intelligence tweette een waarschuwing over de verschuivende aanpak van de ZLoader-malware. Microsoft-onderzoekers noemden de wijziging een "opmerkelijke verschuiving in de leveringsmethode". ZLoader is overgestapt van kwaadaardige spam-e-mailcampagnes naar misbruik van advertentieplatforms.
De nieuwe tactiek die wordt gebruikt door de mensen die ZLoader gebruiken, is om Google-advertenties te kopen en deze zo in te stellen dat ze verwijzen naar websites die installatieprogramma's hosten die legitieme software nabootsen, terwijl de installatiepakketten in werkelijkheid malware zijn.
Microsoft heeft verder uiteengezet dat de nieuwe aanpak het opzetten van een nep-dummy-bedrijfsentiteit vereiste die wordt gebruikt om de advertentieruimte te kopen die linkt naar de kwaadaardige websites. Zodra de slachtoffers door de slechte advertenties klikken en de malware op hun systemen sluipt, kunnen de campagne-exploitanten toegang tot geïnfecteerde apparaten verkopen aan geïnteresseerde derden.
Uiteraard rapporteerde Microsoft dit uitbuitingsgedrag aan Google en het gebruik van ZLoader in kwaadaardige Google-advertenties is aanzienlijk gedaald.
ZLoader begon als een kwaadaardige toolkit voor bankieren die werd gebruikt om wachtwoorden en andere browsergegevens te stelen, maar evolueerde later. De malware begon ook ransomware af te leveren, met name de Conti-ransomware. De toolkit in ZLoader bevat ook backdoor-achtige mogelijkheden waarmee de operators verdere malware op geïnfecteerde apparaten kunnen installeren.
Microsoft zag dat ZLoader ook werd gebruikt om de beruchte Ryuk-ransomware in zijn nieuwste evolutie te verspreiden, in de recente campagne die misbruik maakte van Google-advertenties. ZLoader kan ook Windows PowerShell-opdrachten uitvoeren om beveiligingsmaatregelen op het geïnfecteerde systeem uit te schakelen.