Microsoft предупреждает о новых возможностях вредоносного ПО ZLoader
ZLoader, изначально представлявший собой банковский троян, который превратился в вредоносное ПО, распространяющее программы-вымогатели, теперь еще больше расширил свои возможности и может скрываться во вредоносной рекламе Google.
Microsoft Security Intelligence опубликовала в Твиттере предупреждение об изменении подхода вредоносного ПО ZLoader. Исследователи Microsoft назвали это изменение «заметным сдвигом в способе доставки». ZLoader перешел от вредоносных рассылок по электронной почте к злоупотреблению рекламными платформами.
Новая тактика, используемая людьми, использующими ZLoader, заключается в покупке рекламы Google и настройке их так, чтобы они указывали на веб-сайты, на которых размещены установщики, имитирующие законное программное обеспечение, в то время как на самом деле пакеты установщика являются вредоносными.
Microsoft также подробно рассказала, что новый подход требует создания фиктивного фиктивного юридического лица компании, которое используется для покупки рекламного места со ссылками на вредоносные веб-сайты. Как только жертвы нажимают на плохую рекламу и вредоносное ПО проникает в их системы, операторы кампании могут продавать доступ к зараженным устройствам заинтересованным третьим сторонам.
Естественно, Microsoft сообщила об этом эксплуататорском поведении в Google, и использование ZLoader во вредоносной рекламе Google значительно сократилось.
ZLoader начинался как вредоносный набор банковских троянцев, который использовался для кражи паролей и других данных браузера, но позже эволюционировал. Вредоносная программа начала также поставлять программы-вымогатели, в частности, программу-вымогатель Conti. Набор инструментов, включенный в ZLoader, также включает в себя возможности, подобные бэкдору, которые позволяют его операторам устанавливать дополнительные вредоносные программы на зараженные устройства.
Microsoft заметила, что ZLoader также использовался для распространения печально известной программы-вымогателя Ryuk в ее последней эволюции, в недавней кампании, в которой использовалась реклама Google. ZLoader также может выполнять команды Windows PowerShell для отключения средств защиты в зараженной системе.