Microsoft alerta sobre os novos recursos do malware ZLoader
O ZLoader, originalmente um Trojan bancário que evoluiu para malware de entrega de ransomware, agora expandiu ainda mais suas capacidades e pode se ocultar em anúncios maliciosos do Google.
O Microsoft Security Intelligence tuitou um aviso sobre a mudança de abordagem do malware ZLoader. Os pesquisadores da Microsoft chamaram a mudança de uma "mudança notável no método de entrega". ZLoader mudou de campanhas de e-mail de spam malicioso para a exploração abusiva de plataformas de publicidade.
A nova tática usada pelas pessoas que operam o ZLoader é comprar anúncios do Google e configurá-los para apontar para sites que hospedam instaladores que imitam software legítimo, enquanto na realidade os pacotes do instalador são malware.
A Microsoft detalhou ainda que a nova abordagem requer a criação de uma falsa empresa fictícia que é usada para comprar o espaço publicitário com links para sites maliciosos. Assim que as vítimas clicam nos anúncios ruins e o malware se insinua em seus sistemas, os operadores da campanha podem vender o acesso aos dispositivos infectados para terceiros interessados.
Naturalmente, a Microsoft relatou esse comportamento exploratório ao Google e o uso de ZLoader em anúncios maliciosos do Google diminuiu significativamente.
O ZLoader começou como um kit de ferramentas malicioso de Trojan bancário que era usado para roubar senhas e outros dados do navegador, mas depois evoluiu. O malware também começou a distribuir ransomware, notavelmente o Conti ransomware. O kit de ferramentas incluído no ZLoader também inclui recursos do tipo backdoor que permitem que seus operadores instalem outros malwares em dispositivos infectados.
A Microsoft identificou o ZLoader também sendo usado para distribuir o infame ransomware Ryuk em sua evolução mais recente, na recente campanha que abusava dos anúncios do Google. O ZLoader também pode executar comandos do Windows PowerShell para desabilitar as defesas de segurança no sistema infectado.