Uma nova onda de ataques do malware Zloader é capaz de desativar o Microsoft Defender Antivirus (antigo Windows Defender) nos computadores das vítimas para evitar a identificação de sua presença, segundo relatório publicado nesta terça-feira (14) por pesquisadores de segurança do SentinelLabs.
O código malicioso também consegue mudar o verificador de segurança de spam ou phishing nos e-mails, permitindo que anúncios do Google TeamViewer publicados por meio do Google Adwords sejam direcionados para sites falsos de download.
O usuário é induzido a baixar o software falso em formato MSI. O programa é projetado para executar um segundo arquivo, responsável por fazer o download de toda a parte lógica do código malicioso, capaz de desabilitar os módulos do Defender.
Com o caminho aberto para o malware, é instalado o arquivo tim.exe, uma versão backdoor do utilitário legítimo do Windows. Um código adicional instala o último arquivo do ataque com o nome tim.dll, permitindo que os invasores façam proxy da execução da DLL por meio de um binário assinado pela Microsoft. A partir disso, é possível coletar dados financeiros dos usuários, como login e senha de acesso a bancos.
O que é o Zloader?
Novo ataque é realizado em cinco estágios diferentes. (Fonte: Sentinel Labs/Reprodução)Fonte: Sentinel Labs/Reprodução
O ZLoader é uma variante do trojan Zeus, que atingiu o setor bancário no início de 2006. Em 2020, houve um aumento significativo da presença do malware, que foi utilizado em mais de 100 ataques, afetando vítimas nos Estados Unidos, Canadá, Austrália, Polônia, Alemanha e Brasil.
Também conhecido como Silent Night e ZBot, está atualmente em desenvolvimento ativo e gerou mais de 25 versões diferentes desde que ressurgiu. As variantes, em grande parte, nasceram devido ao vazamento de código do Zeus em 2011.
Em uma onda de ataques anterior, o código malicioso era introduzido por meio de um e-mail falso que alertava sobre a necessidade de realização de teste para o coronavírus para pessoas que tiveram contato com pacientes infectados por covid-19. No anexo do e-mail, um arquivo Excel com supostas informações sobre o centro de teste mais próximo dava continuidade à infecção do computador.
Fontes