Varian Stealthier ZLoader Baru Menyebar Melalui Iklan Unduhan TeamViewer Palsu

  • Whatsapp
Varian Stealthier ZLoader Baru Menyebar Melalui Iklan Unduhan TeamViewer Palsu

Pengguna yang mencari perangkat lunak desktop jarak jauh TeamViewer di mesin telusur seperti Google dialihkan ke tautan berbahaya yang jatuh ZLoader malware ke sistem mereka sambil secara bersamaan merangkul rantai infeksi tersembunyi yang memungkinkannya berlama-lama di perangkat yang terinfeksi dan menghindari deteksi oleh solusi keamanan.

“Malware tersebut diunduh dari iklan Google yang diterbitkan melalui Google Adwords,” peneliti dari SentinelOne dikatakan dalam laporan yang diterbitkan pada Senin. “Dalam kampanye ini, penyerang menggunakan cara tidak langsung untuk mengkompromikan korban daripada menggunakan pendekatan klasik yang mengorbankan korban secara langsung, seperti dengan phishing.”

Bacaan Lainnya

Pertama kali ditemukan pada tahun 2016, ZLoader (alias Silent Night dan ZBot) adalah a Trojan perbankan berfitur lengkap dan cabang dari malware perbankan lain yang disebut ZeuS, dengan versi yang lebih baru mengimplementasikan modul VNC yang memberikan akses jarak jauh kepada musuh ke sistem korban. Malware ini sedang dalam pengembangan aktif, dengan pelaku kriminal menelurkan berbagai varian dalam beberapa tahun terakhir, tidak kurang dipicu oleh kebocoran kode sumber ZeuS pada tahun 2011.

Gelombang serangan terbaru diyakini menargetkan pengguna lembaga keuangan Australia dan Jerman dengan tujuan utama mencegat permintaan web pengguna ke portal perbankan dan mencuri kredensial bank. Tetapi kampanye ini juga patut diperhatikan karena langkah-langkah yang diperlukan untuk tetap berada di bawah radar, termasuk menjalankan serangkaian perintah untuk menyembunyikan aktivitas jahat dengan menonaktifkan Windows Defender.

Rantai infeksi dimulai ketika pengguna mengklik iklan yang ditampilkan oleh Google di halaman hasil pencarian dan diarahkan ke situs TeamViewer palsu di bawah kendali penyerang, sehingga menipu korban untuk mengunduh varian perangkat lunak yang tidak bertanda tangan (“Team- Penampil.msi”). Pemasang palsu bertindak sebagai penetes tahap pertama untuk memicu serangkaian tindakan yang melibatkan pengunduhan penetes tahap berikutnya yang bertujuan merusak pertahanan mesin dan akhirnya mengunduh muatan ZLoader DLL (“tim.dll”).

“Pada awalnya, ini menonaktifkan semua modul Windows Defender melalui cmdlet PowerShell Set-MpPreference,” kata Peneliti Senior Intelijen Ancaman SentinelOne Antonio Pirozzi. “Itu kemudian menambahkan pengecualian, seperti regsvr32, *.exe, *.dll, dengan cmdlet Add-MpPreference untuk menyembunyikan semua komponen malware dari Windows Defender.”

Perusahaan keamanan siber mengatakan menemukan artefak tambahan yang meniru aplikasi populer seperti Discord dan Zoom, menunjukkan bahwa penyerang memiliki beberapa kampanye yang sedang berlangsung selain memanfaatkan TeamViewer.

“Rantai serangan yang dianalisis dalam penelitian ini menunjukkan bagaimana kompleksitas serangan telah berkembang untuk mencapai tingkat siluman yang lebih tinggi, menggunakan alternatif pendekatan klasik untuk mengkompromikan korban melalui email phishing,” jelas Pirozzi. “Teknik yang digunakan untuk menginstal penetes tahap pertama telah diubah dari merekayasa sosial korban menjadi membuka dokumen berbahaya hingga meracuni pencarian web pengguna dengan tautan yang mengirimkan muatan MSI yang ditandatangani secara diam-diam.”

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *