Ένα banking malware που ονομάζεται ZLoader που είχε εμφανιστεί για τελευταία φορά στις αρχές του 2018, εντοπίστηκε σε περισσότερες από 100 καμπάνιες email από τις αρχές του έτους.
Το Trojan βρίσκεται σε ενεργή ανάπτυξη με 25 εκδόσεις που εμφανίζονται από την επιστροφή του τον Δεκέμβριο του 2019, με την τελευταία να παρατηρήθηκε αυτόν τον μήνα.
Οι κακόβουλες spam καμπάνιες στοχεύουν σε χρήστες στις ΗΠΑ, τον Καναδά, τη Γερμανία, την Πολωνία και την Αυστραλία με θέλγητρα που σχετίζονται με τα θέματα για τον COVID-19 και τιμολόγια.
Οι ερευνητές στο Proofpoint σημειώνουν σήμερα σε μια αναφορά ότι το ZLoader που διανέμεται με αυτόν τον τρόπο είναι διαφορετικό από την αρχική παραλλαγή που παρατηρήθηκε μεταξύ 2016 και 2018.
Πολλαπλοί παράγοντες διαμοιράζουν το στέλεχος του ιού σε τουλάχιστον μια κακόβουλη καμπάνια email την ημέρα. Χρησιμοποιούν αρχεία PDF που συνδέονται με ένα έγγραφο του Microsoft Word με κώδικα μακροεντολής που κατεβάζει και εκτελεί μια έκδοση του ZLoader.
Από τον Μάρτιο, άρχισαν να κυκλοφορούν phishing email με θέμα τον COVID-19. Ένα από τα email προσποιείται ότι προειδοποιεί τους παραλήπτες για απάτες που σχετίζονται με τη νέα πανδημία του κοροναϊού.
Η IBM X-Force ανέφερε αυτές τις εκστρατείες ως αρκετά πειστικές με έγγραφα που φέρεται να περιέχουν λεπτομέρειες σχετικά με τις κρατικές πληρωμές αρωγής.
Η τρέχουσα παραλλαγή δεν διαθέτει κάποια προηγμένα χαρακτηριστικά που φαίνεται στον προκάτοχό της. Για παράδειγμα, λείπει η απόκρυψη κώδικα και η κρυπτογράφηση συμβολοσειρών. Παρ ‘όλα αυτά, εξακολουθεί να αποτελεί σημαντική απειλή.
Χρησιμοποιεί web injects για να κλέψει credentials και ιδιωτικές τραπεζικές πληροφορίες από τα θύματα, καθώς και ευαίσθητα δεδομένα που είναι αποθηκευμένα σε προγράμματα περιήγησης, όπως cookies και κωδικούς πρόσβασης.
Ο παράγοντας απειλής χρησιμοποιεί αυτά τα δεδομένα για να συνδεθεί στον διαδικτυακό τραπεζικό λογαριασμό του θύματος. Χρησιμοποιώντας έναν client VNC (Virtual Network Computing), πραγματοποιούν συναλλαγές από τον παραβιασμένο υπολογιστή.
Αυτό δεν δημιουργεί υποψίες στην τράπεζα, καθώς η μεταφορά ξεκινά από τον υπολογιστή του πελάτη χρησιμοποιώντας σωστά credentials. Καθιστά επίσης πιο δύσκολο να αμφισβητηθεί η δόλια συναλλαγή.
Το ZLoader είναι επίσης γνωστό ως Zeus Sphinx, Terdot και DELoader. Είναι μια παραλλαγή του διαβόητου Zeus που χρησιμοποιήθηκε για να κλέψει δεκάδες εκατομμύρια το 2010.
Στο παρελθόν, το Zeus είχε τιμή μεταξύ 3000 και 4000 $ και ήταν το κορυφαίο malware που χρησιμοποιούν εγκληματίες που ειδικεύονται στις οικονομικές απάτες.
