Yeni Zloader saldırıları Microsoft Defender Antivirus'ü devre dışı
bırakıyor
Microsoft'un istatistiklerine göre, Microsoft Defender Antivirus, Windows 10 çalıştıran 1 milyardan fazla sisteme önceden yüklenmiş anti-malware çözümüdür.
Saldırganlar ayrıca, kötü amaçlı yazılım dağıtım vektörünü, Google AdWords aracılığıyla yayınlanan TeamViewer Google Ads'tan TeamViewer Google Reklamları'na, hedefleri sahte indirme sitelerine yönlendirerek değiştirdiler.
Oradan, Zloader Kötü Amaçlı Yazılım Yükleme Yüklerini bilgisayarlarında yüklemek için tasarlanmış imzalı ve kötü amaçlı MSI yükleyicilerini indirmek için kandırılıyorlar.
"Bu araştırmada analiz edilen saldırı zinciri, saldırının karmaşıklığının daha yüksek bir gizliliğe ulaşmak için nasıl büyüdüğünü gösteriyor" dedi. "İlk aşama damlalık klasik kötü amaçlı belgelerden gizli, imzalanmış bir MSI yükü için değiştirildi. Savunma ve proxy'yı yüklenmelerini engellemek için arka kaplı ikili dosyalar ve bir dizi lolbas kullanıyor.
ZLOADER (TERDOT ve DELOADER olarak da bilinir), başlangıçta Ağustos 2015'te birkaç İngiliz finansal hedefinin müşterilerine saldırmak için kullanıldığı zaman, Ağustos 2015'te geri alınmış bir bankacılık Trojan'dır. Zeus Panda ve Floki Bot gibi, bu kötü amaçlı yazılım neredeyse tamamen Zeus V2 Trojan'ın kaynak koduna dayanarak, on yıldan fazla bir süre önce çevrimiçi olarak sızdırılmıştır.
Bankacılık Trojan, Dünya çapında, Avustralya ve Brezilya'dan Kuzey Amerika'dan bankaları hedef aldı ve sosyal mühendisliği kullanan web enjeksiyonları aracılığıyla finansal mühendislik kullanan web enjeksiyonları aracılığıyla hasat etmeye çalışıyordu. Daha yakın zamanda, Ryuk ve Egregor gibi fidyeware yükleri sunmak için de kullanılmıştır. Zloader ayrıca arka kapı ve uzaktan erişim yetenekleri ile birlikte gelir ve enfekte olmuş cihazlarda daha fazla yükü bırakmak için kötü amaçlı yazılım yükleyici olarak da kullanılabilir. Sentinellab'ın araştırmalarına göre, bu son kampanya öncelikle Alman ve Avustralya Bankacılık kurumlarının müşterilerini hedeflemeye odaklandı. "Bu, bir Zloader kampanyasında bu saldırı zincirini ilk kez gözlemledik," Sentinellabs 'araştırmacıları sonuçlandı. "Yazma sırasında, teslimat zincirinin belirli bir ortak tarafından uygulandığına veya ana operatör tarafından sağlandığı takdirde bir kanıtımız yok."
2020'nin başından beri Malsmoke adlandırdıkları bu mal istemcisi kampanyasını izleyen Malwarebytes, tehdit aktörlerini, yetişkin temalı kötü amaçlı siteler aracılığıyla Fallout Exploit Kit'i kullanarak hidrolik yükleyici kötü amaçlı yazılım damlası ile hedeflerini enfekte eden tehdit aktörlerini gördü. Ağustos 2021'in sonundan itibaren uyuşucu, TeamViewer, Zoom ve QuickBooks'u taklit eden sitelere geçtiler ve güvenlik araştırmacısının Nao_Sec'e göre bireylerden ziyade işletmeleri hedef alıyorlar.
Sahte Windows 11 yükleyiciler şimdi kötü amaçlı yazılım ile size enfekte etmek için kullanılır.
- Kimlik için Microsoft Defender şimdi PripnightMare saldırılarını algılar.
- Microsoft, Kalan Windows PrintNightMare güvenlik açıklarını düzeltir
- Microsoft Eylül 2021 yama Salı 2 Sıfır-gün, 60 kusurları düzeltti
- Microsoft'un eksik printnightMare yaması güvenlik açığını düzeltemez
