Vuelve ZLoader: abusar de Google AdWords, deshabilitar Windows Defender - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Vuelve ZLoader: abusar de Google AdWords, deshabilitar Windows Defender

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y en el día de hoy hablaremos sobre Vuelve ZLoader: abusar de Google AdWords, deshabilitar Windows Defender

ZLoader está de vuelta, abusar de Google AdWords, deshabilitar Windows Defender

El conocido troyano bancario se reorganiza para ser sigiloso con una rutina de ataque completamente nueva, que incluye el uso de anuncios para Microsoft TeamViewer y Zoom para atraer a las víctimas.

Una campaña dirigida que distribuye el troyano bancario ZLoader se está extendiendo a través de Google AdWords y está utilizando un mecanismo para deshabilitar todos los módulos de Windows Defender en las computadoras de las víctimas, encontraron los investigadores.

Esto es de acuerdo con SentinelLabs, que dijo que para reducir las tasas de detección, la cadena de infección de la campaña también incluye el uso de un cuentagotas firmado, así como una versión de puerta trasera de la utilidad de Windows wextract.exe para incrustar la carga útil de ZLoader.

ZLoader ha existido por un tiempo, una de las muchas bifurcaciones de malware que surgieron de las cenizas del troyano bancario Zeus después de que se publicara su código fuente hace casi 10 años.

«[It] es un típico troyano bancario que implementa la inyección web para robar cookies, contraseñas y cualquier información confidencial «, observaron los analistas de SentinelLabs en un Entrada lunes sobre la nueva campaña “Atacar a los usuarios de instituciones financieras de todo el mundo y también se ha utilizado para distribuir familias de ransomware como Egregor y Ryuk. También proporciona funcionalidad de puerta trasera y actúa como un cargador genérico para entregar otras formas de malware ”.

Para apuntar a las víctimas, los investigadores descubrieron que el malware se propaga mediante un anuncio falso de Google (publicado a través de Google AdWords) para varios software, una alternativa indirecta a las tácticas de ingeniería social como los correos electrónicos de phishing. Los señuelos incluyen Discord, complementos de Java, TeamViewer de Microsoft y Zoom.

Por lo tanto, cuando alguien busca en Google, por ejemplo, «Descarga de Team Viewer», un anuncio mostrado por Google redirigirá a la persona a un sitio falso de TeamViewer bajo el control del atacante, según SentinelLabs. A partir de ahí, se puede engañar al usuario para que descargue un instalador falso en un formato MSI firmado, con una marca de tiempo de firma del 23 de agosto.

«Parece que los ciberdelincuentes pudieron obtener un certificado válido emitido por Flyintellect Inc., una empresa de software en Brampton, Canadá», explicaron los investigadores. «La empresa se registró el 29 de junio de 2021, lo que sugiere que el actor de la amenaza puede haber registrado la empresa con el fin de obtener dichos certificados».

El archivo .MSI firmado obviamente no es un instalador de software legítimo en absoluto, sino más bien el cuentagotas de primera etapa para malware.

Una vez descargado, ejecuta un asistente de instalación que crea el siguiente directorio: C: Archivos de programa (x86) Sun Technology Network Oracle Java SE y libera un archivo .BAT con el nombre apropiado «setup.bat».

A continuación, la función incorporada de Windows cmd.exe se utiliza para ejecutar ese archivo, que a su vez descarga un cuentagotas de segunda fase que luego inicia una tercera fase de infección mediante la ejecución de un script llamado «updatescript.bat».

Este guión de la tercera etapa hace la mayor parte del trabajo sucio que mata al defensor.

«El gotero de la tercera etapa contiene la mayor parte de la lógica para comprometer las defensas de la máquina», explicaron los investigadores. “Al principio, deshabilite todos los módulos de Windows Defender a través del cmdlet Set-MpPreference de PowerShell. Luego agrega exclusiones, como regsvr32, * .exe, * .dll, con el cmdlet Add-MpPreference para ocultar todos los componentes de malware de Windows Defender.

En este punto, descargue un cuentagotas de cuarta etapa de la URL «hxxps: //pornofilmspremium.com/tim[dot]exe «, que se guarda como» tim.exe «y se ejecuta a través de la función legítima explorer.exe de Windows.

«Esto permite al atacante romper la correlación padre / hijo que a menudo utiliza la detección y respuesta de puntos finales (EDR) para la detección», explicaron los investigadores.

Agregaron que el binario tim.exe es en realidad una versión de puerta trasera de la utilidad legítima de Windows wextract.exe, que contiene código adicional para crear un nuevo archivo por lotes malicioso con el nombre «tim.bat».

«El archivo tim.bat es una secuencia de comandos muy corta que descarga la carga útil final de la DLL de ZLoader con el nombre tim.dll», señalaron. Esta carga útil final se realiza mediante la función legítima de Windows conocida como regsvr32, que permite a los atacantes delegar la ejecución de DLL a través de un binario firmado por Microsoft.

El uso intensivo de utilidades y funciones legítimas de Windows sirve para ayudar al malware a evadir las defensas y esconderse, anotaron los investigadores.

Tim.bat tiene otro as en la manga: descarga otro script, llamado «nsudo.bat», que realiza múltiples operaciones con el objetivo de elevar privilegios en el sistema y comprometer defensas:

  • Compruebe si el contexto de ejecución actual tiene privilegios verificando el acceso al subárbol SYSTEM.
  • Implementa un VBScript de elevación automático que tiene como objetivo realizar un proceso elevado para realizar cambios en el sistema.
  • Una vez que se realiza la elevación, el script se ejecuta con privilegios elevados.
  • La secuencia de comandos sigue los pasos para deshabilitar Windows Defender de forma permanente, asegurándose de que el servicio «WinDefend» se elimine en el próximo arranque utilizando la utilidad NSudo.
  • El script nsudo.bat también deshabilita completamente la seguridad del Control de cuentas de usuario (UAC) de Microsoft.
  • Fuerza el reinicio de tu computadora para que se puedan realizar los cambios.

Como sugieren algunos nombres de archivos maliciosos, la infraestructura del ciberdelincuente incluye la botnet Tim, según el análisis. La estructura de la botnet incluye al menos 350 dominios web diferentes.

«Algunos dominios implementan el componente gate.php, que es una huella digital de la botnet ZLoader», explicaron los investigadores. «Durante nuestra investigación, notamos que todos los dominios se registraron de abril a agosto de 2021 y se cambiaron a la nueva IP (195.24.66[dot]70) el 26 de agosto «.

Esta es la primera vez que los investigadores han observado esta cadena de ataques en particular en una campaña de ZLoader, que por ahora está dirigida a clientes de instituciones bancarias australianas y alemanas. Si esta campaña tiene éxito, una rutina de ataque más sigilosa podría aparecer en otros lugares, dijeron.

«La cadena de ataque … muestra cómo la complejidad del ataque ha crecido hasta un nivel más alto de sigilo», concluyeron los investigadores. “El cuentagotas de la primera etapa se ha cambiado del clásico documento malicioso a una carga útil sigilosa y firmada de MSI. Utiliza binarios de puerta trasera y una variedad de [living off the land utilities] comprometer las defensas y delegar la ejecución de sus cargas útiles «.

Es hora de convertir la caza de amenazas en una búsqueda de adversarios. PALO Threatpost y Cybersixgill para Caza de amenazas para capturar oponentes, no solo para detener ataques y obtenga una visita guiada por la web oscura y aprenda a rastrear a los actores de amenazas antes de su próximo ataque. SUSCRÍBASE AHORA para la discusión EN VIVO el 22 de septiembre a las 2 pm EST con Sumukh Tendulkar y Edan Cohen de Cybersixgill, junto con el investigador independiente y vCISO Chris Roberts y la presentadora de Threatpost Becky Bracken.

.

Deberías compartir en en tu Twitter y Facebook para que tus amigos lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *