Los usuarios que buscan el software de escritorio remoto TeamViewer en motores de búsqueda como Google son redirigidos a enlaces maliciosos que transmiten el malware ZLoader a sus sistemas, mientras usan una cadena de infección secreta que les permite persistir en los dispositivos infectados y evitar que las soluciones de seguridad lo detecten.
«Se está retirando el malware de los anuncios de Google publicados a través de Google Adwords», dijeron los investigadores de SentinelOne en un informe publicado el lunes. «En esta campaña, los atacantes utilizan una forma indirecta de comprometer a las víctimas en lugar del enfoque clásico de comprometer directamente a las víctimas, como el phishing».
Descubierto por primera vez en 2016, ZLoader (o Silent Night y ZBot) es un troyano bancario con todas las funciones y una bifurcación de otro malware bancario llamado ZeuS, con versiones más nuevas que implementan el módulo VNC, que brinda a los oponentes acceso remoto a los sistemas de las víctimas. El malware está evolucionando activamente y los actores criminales han creado una serie de variantes en los últimos años, no menos respaldadas por la filtración del código fuente de ZeuS en 2011.
Se espera que la última ola de ataques apunte a usuarios de instituciones financieras australianas y alemanas, con el objetivo principal de interceptar las solicitudes web de los usuarios para portales bancarios y robar credenciales bancarias. Sin embargo, la campaña también se destaca por los pasos que debe seguir para mantenerse bajo vigilancia, incluida la ejecución de una serie de comandos para ocultar la actividad maliciosa al cerrar Windows Defender.
La cadena de infección comienza cuando un usuario hace clic en un anuncio mostrado por Google en una página de resultados de búsqueda y es redirigido a un sitio falso de TeamViewer bajo el control del atacante, lo que hace que la víctima descargue una variante de software fraudulenta pero firmada («Team-Viewer.msi «). El programa actúa como un cuentagotas de la primera fase, que desencadena una serie de acciones, que incluyen la descarga de los cuentagotas de la siguiente fase destinadas a interrumpir la defensa de la máquina y, finalmente, la descarga de la carga útil DLL de ZLoader («tim.dll»). .
«Primero desactiva todos los módulos de Windows Defender a través de la rutina PowerShell Set-MpPreference», dijo el investigador sénior de inteligencia de amenazas de SentinelOne, Antonio Pirozzi. «Luego agrega excepciones, como regsvr32, * .exe, * .dll, usando la rutina Add-MpPreference para ocultar todos los componentes de malware de Windows Defender».
La compañía de ciberseguridad dijo que encontró artefactos adicionales que imitan aplicaciones populares como Discord y Zoom, lo que sugiere que los atacantes realizaron varias campañas más allá del uso de TeamViewer.
“La cadena de ataques analizada en esta investigación muestra cómo se ha incrementado la complejidad del ataque para lograr un mayor nivel de secreto, utilizando una alternativa al enfoque clásico de comprometer a las víctimas a través de correos electrónicos de phishing”, explicó Pirozzi. «La técnica utilizada para instalar el cuentagotas de la primera etapa ha cambiado de la ingeniería social de una víctima a la apertura de un documento malicioso para envenenar la búsqueda web de un usuario mediante enlaces que proporcionan contenido MSI sigiloso y firmado».
