Исследователи в области кибербезопасности из компании SentinelOne обнаружили альтернативный типичному фишингу способ доставки вредоносного ПО. Речь идет о ZLoader – банковском трояне, известном с 2016 года.
Согласно отчету группы экспертов, вместо стандартного активного вектора заражения – фишинговых рассылок – злоумышленники воспользовались косвенным методом компрометации – через рекламу поисковой системы Google, опубликованную с помощью сервиса Google Adwords. Для привлечения жертвы используется реклама ПО для удаленного доступа – TeamViewer. Ссылки, предлагаемые для скачивания популярного софта на странице результатов поиска, перенаправляют пользователя на поддельный сайт TeamViewer, подконтрольный злоумышленнику, после чего предлагается скачать ПО. В результате пользователь получает фальшивый файл MSI-установщика «Team-Viewer.msi», подписанный действующим сертификатом некой компании Flyintellect Inc. (очевидно зарегистрированной также злоумышленниками). Эта уловка применяется как мера обхода антивирусной защиты.
«Team-Viewer.msi» действует в качестве дроппера первого этапа, запуская череду загрузки второстепенных дропперов и других вредоносных файлов, в том числе загрузку скриптов для отключения Windows Defender и полезной нагрузки ZLoader. При этом на одном из этапов развертывания трояна применяется техника LOLBAS для нарушения корреляции между дочерним и родительским процессами, которую часто используются EDR-решения для детектирования вредоносной активности.
Исследователи обнаружили, что сертификат, задействованный для подписи фальшивого MSI TeamViewer, использовался и для других семплов, в частности, с именами «JavaPlug-in.msi», «Zoom.msi», «dscord.msi», что может говорить о расширенном формате кампании.
«Злоумышленники применяют много уловок, чтобы ввести в заблуждение даже продвинутого пользователя, а вредоносные программы оснащаются расширенным функционалом уклонения от обнаружений. Поэтому для предотвращения или минимизации потенциального ущерба от возможных заражений рекомендуется использовать несколько средств защиты информации, направленных на обеспечение безопасности разных сервисов системы и объектов информационной инфраструктуры: электронной почты, пользовательского интернет-трафика, веб-серверов, конечных устройств», – комментирует Тимур Кузнецов, директор Инженерного центра Angara Professional Assistance.
Для того чтобы отсеять нежелательный пользовательский интернет-трафик, Angara Professional Assistance предлагает клиентам использовать возможности услуги «Фильтрация доступа в Интернет», что позволит выявить и блокировать современные киберугрозы, включая вредоносный активный контент, ботнеты, межсайтовый скриптинг (XSS), подделку межсайтовых запросов (CSRF), фишинг.
За подробностями об услуге можно обратиться к разделу «Сервисы по модели Managed Security Services (MSS)» нашего сайта. Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.