研究人员发现,一个通过谷歌广告 传播 ZLoader 银行木马的有针对性的活动正在蔓延,并且正在使用一种机制来禁用受害者电脑上的所有 防火墙模块。
根据 SentinelLabs 的说法,为了降低检测率,运动的感染链还包括使用有符号滴管,加上 Windows 实用程序的后置版本 wextract.exe 嵌入 ZLoader 有效负载本身。
ZLoader 已经存在了一段时间,在宙斯银行木马的灰烬中出现了许多恶意程序分支,其源代码在近10年前被公布。
SentinelLabs 的分析师在周一发布的一篇关于新活动的帖子中指出: “(它)是一种典型的银行木马,实现了网络注入,以窃取 cookie、密码和任何敏感信息。”。“它攻击全球各地金融机构的用户,还被用于分发伊格雷戈和洛克等勒索软件家庭。它还提供后门功能,并充当一个通用的加载程序,传递其它形式的恶意软件。”
隐形 ZLoader 感染链从 Google AdWords 开始
研究人员发现,为了锁定受害者,这种恶意软件通过各种软件的虚假谷歌广告(通过谷歌 AdWords 发布)进行传播——这是一种间接替代诸如鱼叉式钓鱼邮件等社交工程策略的方法。这些诱饵包括 Discord,Java 插件,微软的 TeamViewer 和 Zoom。
据 SentinelLabs 称,因此,当某人在谷歌上说“ Team Viewer 下载”时,谷歌显示的一个广告会将该人重定向到攻击者控制下的一个假的 TeamViewer 站点。从那里,用户可以欺骗下载一个签名 MSI 格式的假安装程序,签名时间是8月23日。
研究人员解释说: “网络犯罪分子似乎设法获得了布兰普顿一家软件公司 flyintelleinc 颁发的有效证书。”。”该公司于2021年6月29日注册,表明威胁行为者可能为获得这些证书而对该公司进行了注册
禁用 Windows Defender
签名。MSI 文件当然不是合法软件的安装程序,而是恶意软件的第一阶段下垂器。
一旦下载,它运行一个安装向导,创建以下目录: c: Program Files (x86) Sun Technology Network Oracle Java SE,并删除一个。BAT 文件恰当地称为“ setup.BAT”
然后,使用内置的 Windows cmd.exe 函数执行该文件,该文件再下载第二阶段滴漏器,然后通过执行一个名为“ updatescript.bat”的脚本启动第三阶段感染
这个第三阶段的剧本执行大部分的防卫者杀害肮脏的工作。
研究人员解释说: “第三阶段滴管包含了削弱机器防御能力的大部分逻辑。”。“一开始,它通过 PowerShell cmdlet Set-MpPreference 禁用所有的 Windows Defender 模块。然后添加了一些排除项,比如 regsvr32,* 。Exe * .用 cmdlet Add-MpPreference 来隐藏恶意软件的所有组件,以防 Windows Defender。”
此时,它从 URL“ hxxps:// pornofilmspremium.com/tim 文件[ dot ] exe”下载一个第四阶段滴管,该文件被保存为“ tim.exe”,并通过合法的 Windows explorer. exe 函数执行。
研究人员解释说: “这使得攻击者可以打破端点检测和响应(edr)常用的父子关联来进行检测。”。
他们补充说,tim.exe 二进制文件实际上是合法的 Windows 实用程序 wextract.exe 的一个后缀版本,其中包含用于创建名为“ tim.bat”的新恶意批处理文件的附加代码
“ tim.bat 文件是一个非常短的脚本,它以 tim.DLL 的名称下载最终的 ZLoader DLL 有效负载,”他们指出。最终的有效载荷使用合法的 Windows 函数 regsvr32执行,该函数允许攻击者通过微软签名的二进制文件代理 DLL 的执行。
研究人员指出,大量使用合法的 Windows 工具和功能有助于帮助恶意软件避开防御系统和隐藏自己。
更多的国防回避
Bat 还有一个妙招: 它下载另一个名为“ nsudo.bat”的脚本,该脚本执行多个操作,目的是提高系统上的特权并削弱防御能力:
它通过验证对 SYSTEM 配置单元的访问来检查当前执行上下文是否具有特权。
它实现了一个自动提升 VBScript,旨在运行一个提升的进程以进行系统更改。
一旦提升发生,该脚本将以提升的特权运行。
该脚本通过确保在下一次启动时通过实用程序 NSudo 删除“ WinDefend”服务,从而执行在持久基础上禁用 Windows Defender 服务的步骤。
Bat 脚本还完全禁用 Microsoft 的 User Account Control (UAC)安全性。
它迫使计算机重新启动,以便进行更改。
提姆僵尸网络
正如一些恶意文件名所显示的,根据分析,网络犯罪的基础设施包括蒂姆僵尸网络。僵尸网络的结构涉及至少350个不同的网络域名。
“一些域名实现了 gate.php 组件,这是 ZLoader 僵尸网络的指纹,”研究人员解释说。“我们在调查过程中注意到,所有域名都是在2021年4月至8月期间注册的,并且在8月26日转用了新的 IP (195.24.66[ dot ]70)。”
这是研究人员第一次在 ZLoader 的活动中观察到这种特殊的攻击链,目前 ZLoader 的目标客户是澳大利亚和德国的银行机构。他们说,如果这次战役成功,他们的秘密攻击手段可能会出现在其他地方。
研究人员总结道: “攻击链… … 显示了为了达到更高的隐形级别,攻击的复杂性是如何增加的。”。“第一级滴管已经从经典的恶意文件变成了一个隐秘的、签名的 MSI 有效载荷。它使用后退的二进制程序和一系列(依靠陆地公用事业生存)来削弱防御能力,并代理其有效载荷的执行。”
是时候把威胁搜寻演变成对敌人的追逐了。加入威胁追踪网站和 Cybersixgill,不仅可以阻止攻击,还可以参观暗网,学习如何在下一次攻击前追踪威胁行为者。9月22日美国东部时间下午2点,与 Cybersixgill 的 Sumukh Tendulkar 和 Edan Cohen,以及独立研究人员和 vCISO Chris Roberts 和 Threatpost 主持人 Becky Bracken 一起注册现场讨论。