ΑρχικήsecurityΟι νέες επιθέσεις Zloader απενεργοποιούν το Microsoft Defender Antivirus

Οι νέες επιθέσεις Zloader απενεργοποιούν το Microsoft Defender Antivirus

Μια τρέχουσα εκστρατεία Zloader χρησιμοποιεί μια νέα αλυσίδα μόλυνσης για να απενεργοποιήσει το Microsoft Defender Antivirus (πρώην Windows Defender) στους υπολογιστές των θυμάτων για να αποφύγει τον εντοπισμό.

Zloader

Δείτε επίσης: FlyTrap malware χακάρει χιλιάδες Facebook λογαριασμούς!

Σύμφωνα με τα στατιστικά της Microsoft, το Microsoft Defender Antivirus είναι η λύση antivirus που είναι προεγκατεστημένη σε περισσότερα από 1 δισεκατομμύριο συστήματα με Windows 10.

Οι επιτιθέμενοι άλλαξαν επίσης το διάνυσμα παράδοσης του malware από μηνύματα spam ή phishing σε διαφημίσεις Google TeamViewer που δημοσιεύονται μέσω του Google Adwords, ανακατευθύνοντας τους στόχους σε ψεύτικους ιστότοπους λήψης.

Από εκεί, εξαπατούνται για να κατεβάσουν κακόβουλους installers MSI που έχουν σχεδιαστεί για να εγκαθιστούν Zloader malware payloads στους υπολογιστές τους.

Δείτε επίσης: Το νέο Android malware που ονομάζεται Vultur μολύνει χιλιάδες συσκευές

Οι επιθέσεις επικεντρώθηκαν σε πελάτες τραπεζών στην Αυστραλία και την Γερμανία

Το Zloader (επίσης γνωστό ως Terdot και DELoader) είναι ένα banking trojan που εντοπίστηκε αρχικά τον Αύγουστο του 2015, όταν χρησιμοποιήθηκε για να επιτεθεί σε πελάτες πολλών βρετανικών οικονομικών στόχων.

Όπως το Zeus Panda και το Floki Bot, αυτό το malware βασίζεται σχεδόν εξ ολοκλήρου στον πηγαίο κώδικα του Zeus v2 Trojan που διέρρευσε στο διαδίκτυο πριν από περισσότερο από μια δεκαετία.

Το banking trojan στόχευσε τράπεζες σε όλο τον κόσμο, από την Αυστραλία και τη Βραζιλία έως τη Βόρεια Αμερική, προσπαθώντας να συλλέξει οικονομικά δεδομένα μέσω web injections που χρησιμοποιούν το social engineering για να πείσουν τους μολυσμένους πελάτες να παραδώσουν κωδικούς και credentials.

Πιο πρόσφατα, χρησιμοποιήθηκε και για την παράδοση ransomware payload όπως το Ryuk και το Egregor. Το Zloader διαθέτει και δυνατότητες backdoor και απομακρυσμένης πρόσβασης και μπορεί επίσης να χρησιμοποιηθεί ως malware loader για να διασπείρει επιπλέον payload σε μολυσμένες συσκευές.

Σύμφωνα με την έρευνα της SentinelLabs, αυτή η τελευταία καμπάνια επικεντρώνεται κυρίως στη στόχευση πελατών γερμανικών και αυστραλιανών τραπεζικών ιδρυμάτων.

Το MalwareBytes, που παρακολουθεί αυτήν την εκστρατεία – που ονόμασαν Malsmoke – από τις αρχές του 2020, είδε τους απειλητικούς φορείς να μολύνουν τους στόχους τους με το malware dropper Smoke Loader χρησιμοποιώντας το κιτ εκμετάλλευσης Fallout μέσω κακόβουλων ιστότοπων.

Μάθετε επίσης: Malware Meteor: Επίθεση στο σιδηροδρομικό σύστημα του Ιράν

Έχουν αλλάξει σε ιστότοπους που μιμούνται το Discord, το TeamViewer, το Zoom και το QuickBooks ξεκινώντας από τα τέλη Αυγούστου 2021 και πιθανότατα στοχεύουν επιχειρήσεις και όχι άτομα σύμφωνα με τον ερευνητή ασφάλειας nao_sec.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS