Microsoft ostrzega przed nowymi możliwościami ZLoader Malware
ZLoader, pierwotnie trojan bankowy, który przekształcił się w szkodliwe oprogramowanie dostarczające ransomware, teraz jeszcze bardziej rozszerzył swoje możliwości i może ukrywać się w złośliwych reklamach Google.
Microsoft Security Intelligence opublikował na Twitterze ostrzeżenie o zmieniającym się podejściu złośliwego oprogramowania ZLoader. Badacze Microsoftu nazwali tę zmianę „znaczącą zmianą w sposobie dostarczania”. ZLoader przeszedł od złośliwych kampanii spamowych e-mail do nadużywania platform reklamowych.
Nową taktyką stosowaną przez osoby obsługujące ZLoadera jest kupowanie reklam Google i ustawianie ich w taki sposób, aby wskazywały strony internetowe hostujące instalatory naśladujące legalne oprogramowanie, podczas gdy w rzeczywistości pakiety instalacyjne to złośliwe oprogramowanie.
Microsoft wyjaśnił dalej, że nowe podejście wymagało utworzenia fałszywej firmy fikcyjnej, która jest wykorzystywana do kupowania przestrzeni reklamowej zawierającej linki do złośliwych stron internetowych. Gdy ofiary klikną złe reklamy, a złośliwe oprogramowanie wkradnie się do ich systemów, operatorzy kampanii mogą sprzedawać dostęp do zainfekowanych urządzeń zainteresowanym stronom trzecim.
Oczywiście Microsoft poinformował Google o tym nadużywającym działaniu, a wykorzystanie ZLoadera w złośliwych reklamach Google znacznie spadło.
ZLoader zaczynał jako złośliwy zestaw narzędzi trojana bankowego, który był używany do kradzieży haseł i innych danych przeglądarki, ale później ewoluował. Szkodnik zaczął również dostarczać oprogramowanie ransomware, w szczególności ransomware Conti. Zestaw narzędzi zawarty w ZLoader zawiera również funkcje typu backdoor, które pozwalają operatorom instalować kolejne złośliwe oprogramowanie na zainfekowanych urządzeniach.
Microsoft zauważył, że ZLoader jest również wykorzystywany do dystrybucji niesławnego oprogramowania ransomware Ryuk w swojej najnowszej ewolucji, w niedawnej kampanii, która wykorzystywała reklamy Google. ZLoader może również wykonywać polecenia Windows PowerShell, aby wyłączyć zabezpieczenia w zainfekowanym systemie.