Análisis de malware
ZLoader: Qué es, cómo funciona y cómo prevenirlo | Destacado malware [actualización]
1 de junio de por Pedro Tavares
Zloader es un popular troyano bancario descubierto por primera vez en y una mejora del troyano Zeus.
Zloader es una variante popular del troyano Zeus que afectó a la industria bancaria en. Antes de, se vio por última vez en el verano de. Ha experimentado un aumento significativo en su presencia en la web desde el 1 de enero de. Se ha difundido en varias campañas en todo el mundo, afectando a víctimas en Estados Unidos, Canadá, Australia, Polonia y Alemania.
Zloader se basa en campañas de phishing que inducen a las víctimas a abrir archivos adjuntos maliciosos en currículums, facturas y documentos de MS Office.
1: Se adjunta un correo electrónico de phishing de Zloader con un archivo malicioso de MSOffice (.doc).
Además, Zloader, también conocido como Zbot, está en desarrollo activo y ha aparecido en diferentes versiones en los últimos meses. Estas variantes son un claro resultado de la filtración del código fuente de Zeus en.
Detalles técnicos
Zloader es un troyano diseñado para robar cookies, contraseñas e información confidencial. El principal público de este malware son los usuarios de instituciones financieras de todo el mundo. Aunque hay muchos flujos de trabajo sobre Zloader disponibles en Internet, decidimos presentar el gráfico ilustrado en la 2 por Microsoft , ya que resume brevemente las diferentes etapas de esta amenaza emergente.
2: Diferentes etapas del troyano Zloader ( Microsoft ).
El vector de ataque típico utilizado por los delincuentes son los correos electrónicos maliciosos a través de campañas de phishing y el uso reciente de anuncios falsos para entregar la carga útil inicial de Zloader.
A primera vista, los correos electrónicos de phishing adjuntan documentos falsos de Microsoft Office con macros maliciosas que descargarán y ejecutarán la carga útil de Zloader. Algunas campañas difundidas por delincuentes también utilizan plantillas COVID-19 que utilizan dominios asociados con el tema señuelo.
Por otro lado, los delincuentes detrás de las campañas de Zloader utilizan anuncios maliciosos para engañar a los usuarios para que visiten URL maliciosas. Estas URL y campañas asociadas se han hecho pasar por algunas marcas populares como Java, Zoom, TeamViewer y Discord. Según el análisis de Microsoft , » los usuarios que realizaron búsquedas en Google de esos términos durante un tiempo específico recibirían un anuncio que les llevaría a capturar dominios maliciosos «.
Módulos Zloader
Cuando se ejecuta en la máquina de destino, Zloader puede usar sus módulos internos para recopilar información de las máquinas infectadas, incluidas contraseñas, cookies y datos confidenciales, realizar capturas de pantalla y proporcionar acceso VNC a los adversarios.
Otros módulos pueden agregar inyecciones web en páginas utilizando navegadores web disponibles en la máquina de destino, descargando y ejecutando archivos arbitrarios desde sus servidores C2, utilizando su módulo keylogger para recopilar pulsaciones de teclas y enviando archivos al servidor C2.
La mayoría de los archivos populares recopilados por Zloader están relacionados con carteras criptográficas, a saber:
- electro
- Etereum
- éxodo
- Zcash
- Bitcoin-Qt.
El proceso de robo de credenciales se logra a través de varios subprocesos generados en paralelo en procesos de Windows diferentes y específicos, incluidos
- explorador.exe
- msiexec.exe
- iexplore.exe
- firefox.exe
- chrome.exe
- msedge.exe
En detalle, el troyano instala un certificado falso para ejecutar un proxy localmente. Luego, los datos recopilados se redirigen a través de un proxy al lado de los delincuentes.
Evitar la detección AV
Zloader utiliza el proceso Win llamado » msiexec.exe » para descargar archivos legítimos desde varias ubicaciones, incluidos archivos DLL no maliciosos. Segurança-Informatica publicó un informe sobre un troyano latinoamericano que utiliza el mismo enfoque.
“En varios casos, estos archivos se agregaron a una carpeta que pretendía estar asociada con software legítimo, como Oracle Java o Brave Browser, usando el siguiente patrón como ejemplo: C:Program Files (x86)Sun Technology NetworkOracle Java SE[archivo malicioso]”, dice Microsoft .
De las diferentes muestras de Zloader analizadas el año pasado, se emplearon muchas técnicas para evadir la detección de troyanos. Una de las técnicas más detectadas es la desactivación del software de seguridad durante la operación del troyano. El ejemplo viene con un script de PowerShell que se ejecuta en tiempo de ejecución, como se presenta a continuación.
3: Script de PowerShell con comandos para deshabilitar el software de seguridad durante la ejecución de Zloader.
Persistencia de Zloader
Para mantener su presencia en las máquinas infectadas, Zloader utiliza una clave en el registro de Windows que apunta a la carpeta de inicio:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Este es un TTP típico observado en el panorama del malware que permite la ejecución de un binario de destino al iniciar Windows; en este caso, el binario Zloader.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
La amenaza de Zloader
Zloader es un troyano bancario que implementa la mayoría de los TTP populares observados en amenazas de esta naturaleza. Sin embargo, este troyano también ha sido visto como un cargador de balizas CobaltStrike e implementa ransomware en etapas posteriores. En los últimos meses, familias de ransomware como Egregor y Ryuk son algunas de las piezas asociadas a las campañas de Zloader.
Con esta capacidad implementada, Zloader aumenta su impacto al actuar como un cargador genérico para distribuir otras formas de malware. Además, las nuevas versiones de este troyano vienen con un módulo VNC que permite a los delincuentes establecer una VPN oculta para las máquinas objetivo y las redes internas.
El mejor consejo de prevención suele ser bastante sencillo: no hacer clic en enlaces ni descargar archivos adjuntos contenidos en correos electrónicos de remitentes desconocidos. Sin embargo, puede que esta vez no sea suficiente. En pocas palabras, ZLoader juega con los miedos y las vulnerabilidades durante la pandemia de COVID-19 y el desempleo masivo, lo que puede aumentar las probabilidades de que se descargue ese archivo adjunto infectado.
A continuación se presentan algunos consejos para prevenir Zloader:
- El gobierno (y el presidente) no le enviarán correos electrónicos si entra en contacto con un paciente infectado con COVID-19.
- Durante los momentos de búsqueda de empleo, descargue únicamente archivos adjuntos de remitentes que conozca o con los que haya mantenido correspondencia legítima anteriormente.
- Implemente una solución antivirus, antimalware o de seguridad del correo electrónico para ayudarle a detectar amenazas que se propagan por correo electrónico, como ZLoader.
- Como siempre, cambie sus contraseñas con regularidad.
Fuentes:
- Complementos de Java que ofrecen Zloader , K7Computing
- Desmontaje de ZLoader , Microsoft
- Zloader 2: La noche de paz , Avast
- Infección Zloader y sus técnicas de evasión , SentinelLabs