Zloader Trojan

Zloader - это банковский троян, который использует веб-инжекты и VNC-клиенты для сохранения банковских учетных данных. Этот троян основан на просочившемся коде 2011 года, но, несмотря на свой возраст, популярность Zloader только росла до начала 2020 года, когда он использовал тематические атаки COVID-19.

Также известен как

  • Terdot
  • Zbot
  • DELoader

Что такое Zloader?

Zloader, также известный как Terdot и Zbot - это банковский троян. Он использует веб-инъекции для кражи паролей и кодов авторизации своих жертв. Впервые троян был замечен в 2016 году, но зимой 2019 года произошел резкий всплеск его активности, он появился в более чем 100 кампаниях электронной почты.

Zloader создан с использованием утечки кода известного вредоносного ПО ZeuS. Код ZeuS был обнародован в 2011 году и стал основой для различных образцов вредоносного ПО. Тот факт, что его варианты до сих пор используются, говорит о том, насколько эффективной была оригинальная вредоносная программа.

Общее описание вредоносной программы Zloader

Исследователи впервые заметили Zloader, также известный в то время как DELoader, в 2016 году, когда он начал атаковать канадские банковские организации. Название вредоносной программы подчеркивает два факта: буква "Z" указывает на то, что она основана на банковском трояне Zeus, а слово "loader" подчеркивает уникальный дизайн вредоносной программы. Zloader проникает на компьютеры жертв с помощью загрузчика, который устанавливает конечную полезную нагрузку.

Zloader стал довольно популярным и послужил основным инструментом для нескольких хакеров, причем наибольшую известность получил TA511, также известный как Hancitor. Проработав с Zloader почти 2 года, Hancitor перешел на Panda Banker. Другие вскоре последовали его примеру, и Zloader был заброшен до 2019 года, когда исследователи обнаружили внезапный всплеск атак.

Возможно, злоумышленники воспользовались возможностью, предоставленной неразберихой, которая окружала кризис COVID, запустив новую волну кампаний в декабре 2019 года, при этом количество замеченных атак только увеличилось к марту 2020 года.

Хотя ранее Zloader фокусировался на поиске жертв в Канаде, начиная с 2020 года он расширил географию операций. Новые кампании атакуют финансовые учреждения по всему миру, включая США, Австралию и Европу.

Вредоносная программа использует технику, называемую веб-инъекциями, чтобы обманом заставить жертв раскрыть свои коды аутентификации. Zloader заменяет банковский сайт жертвы идентичной копией, полученной из пользовательского файла, так что ничего не подозревающие пользователи сообщают свои учетные данные, думая, что они входят в свой банк. На самом деле конфиденциальная информация, включая коды доступа, отправляется на C&C, контролируемый злоумышленниками.

Кроме того, Zloader может собирать информацию из браузеров, получая доступ к cookies и паролям - стандартная функция для банковских троянов.

Интересно, что версия Zloader 2019 года менее продвинута, чем ее предшественник, замеченный в 2016 году. Исследователи считают, что это может быть доработка более старой итерации вредоносной программы, в которой отсутствовали некоторые сложные вредоносные техники.

Среди отсутствующих функций - обфускация кода и шифрование строк - эти методы используются угрожающими субъектами для затруднения статического анализа вредоносного ПО, делая код нечитаемым.

Однако это не означает, что к Zloader следует относиться легкомысленно. Это все еще вредоносная программа высшего уровня, и она очень опасна.

Например, если злоумышленникам удается завладеть учетными данными, они используют хитроумную технику, чтобы войти в аккаунт, не вызывая подозрений у банка. Угрожающие субъекты входят в систему с помощью виртуального клиента сетевых вычислений, поэтому все, что видит банк, - это еще один сеанс с обычной машины жертвы. Таким образом, злоумышленники не только могут снимать деньги, не вызывая тревоги, но и доказать мошенничество транзакции также сложно.

Кроме того, вредоносная программа по-прежнему использует некоторые методы защиты от атак, такие как составление черного списка команд и управления и хеширование функций Windows API, что усложняет анализ. Еще одним тревожным признаком является постоянное обновление Zloader. С января по март 2020 года в дикой природе циркулировало не менее 18 его версий. Вредоносная программа постоянно совершенствуется.

Процесс выполнения Zloader

Zloader обычно проникает в системы как исполняемый файл или как файл сценария. При проникновении в виде файла сценария он запускается и компилируется в библиотеку процессом wscript. В качестве исполняемого файла вредоносная программа осуществляет внедрение в процесс msiexec.exe. После этого Zloader пытается подключиться к серверу Command & Control по HTTPS для загрузки дополнительных модулей.

Распространение Zloader

Zloader распространяется среди жертв с помощью вредоносного спама. Письма оформляются как правительственные уведомления или предложения финансовой поддержки в связи с эпидемией COVID-19. К письмам прикрепляются вредоносные файлы, обычно с расширением Microsoft Office, но встречались и PDF-файлы.

При открытии файлы просят жертву включить макросы. Если пользователи компилируют, макросы загружают загрузчик, который устанавливает соединение с командно-контрольным сервером и устанавливает конечную полезную нагрузку - Zloader.

Как обнаружить Zloader?

Поскольку Zloader создает ключи реестра с псевдослучайными именами в каталоге HKEY_CURRENT_USER\Software\Microsoft и каталоги с псевдослучайными именами в каталоге %APPDATA%. Эта активность может помочь аналитикам обнаружить данное семейство вредоносных программ.

Заключение

Несмотря на то, что Zloader основан на коде, утечка которого произошла не менее 9 лет назад, он по-прежнему представляет собой серьезную угрозу для кибербезопасности.

С конца 2019 года этот банковский троян атакует финансовые учреждения по всему миру с помощью тематических атак COVID-19. Он появился в более чем 100 кампаниях электронной почты после почти двухлетнего бездействия и теперь сеет хаос в банковском мире, используя веб-инъекции и сессии VNC для кражи учетных данных.

Поделиться с друзьями
SEC-1275-1