Банкарски тројанац у Гоогле огласима у резултатима претраге

Ако на претраживачима попут Гооглеа тражите софтвер ТеамВиеwер могли бисте наићи на линкове који би вас могли одвести до лажних сајтова на којима је малвер ЗЛоадер који некако успијева да избјегне антивирусни софтвер на системима.

“Малвер је преузет са Гоогле огласа објављеног путем Гоогле Адwордса”.

Први пут примијећен у августу 2015. године, ЗЛоадер (познат и као Силент Нигхт и ЗБот) је банкарски тројанац који је као и тројанци Зеус Панда и Флоки Бот настао на коду другог банкарског тројанца под називом ЗеуС који је процурио 2011. године, са новијим верзијама које имплементирају ВНЦ модул који нападачима омогуц́ава даљински приступ системима жртава. Малвер се непрекидно развија, а резултат тога је низ варијанти које су се појавиле последњих година.

Иако је ЗЛоадер познат по нападима на банке широм свијета, жртве најновијег таласа напада су изгледа првенствено корисници аустралијских и њемачких банака а примарни циљ сајбер криминалаца је крађа података за пријављивање на банковне налоге. Али кампања је такође вредна пажње због корака које малвер предузима да би остао испод радара, укључујуц́и и онемогуц́авање Microsoft Дефендер Антивируса (раније Windows Дефендера).

Према Мицрософтовој статистици, Microsoft Дефендер Антивирус је решење против злонамјерног софтвера инсталирано на више од милијарду система са оперативним системом Windows 10.

Ланац инфекције започиње када корисник кликне на оглас који је Гоогле приказао на страници са резултатима претраге, који преусмјерава жртву на лажни сајт ТеамВиеwера који је под контролом нападача. На тај начин жртва је преварена да преузме лажну, али потписану верзију софтвера (“Теам-Виеwер.мси”). Лажни инсталациони фајл је “дроппер” прве фазе напада који покрец́е низ радњи које укључују преузимање дроппера следец́е фазе чији је циљ нарушавање одбране рачунара и коначно преузимање ЗЛоадер ДЛЛ паyлоада (“тим.длл”).

Малвер прво онемогуц́ава све модуле Windows Дефендера, а затим додаје изузетке, као што су регсвр32, *.еxе, *.длл да би сакрио све своје компоненте од Windows Дефендера.

Истраживачи кажу да осим ТеамВиеwера, нападачи као мамац користе и Дисцорд и Зоом.

ЗЛоадер се у скорије вријеме користио и за инфекцију система рансомwареима као што су Рyук или Егрегор. ЗЛоадер има могућности бацкдоора и даљинског приступа, а може се користити и за учитавање других малвера на уређајима које је заразио.