Банковский троян Zloader теперь обходит антивирус Microsoft Defender

Банковский троян Zloader теперь обходит антивирус Microsoft Defender

Злоумышленники запустили новые кибератаки с использованием вредоносной программы Zloader, которые на этот раз отметились более продуманной цепочкой заражения. В частности, вредонос теперь отключает встроенный антивирус Microsoft Defender (бывший Windows Defender), чтобы избежать обнаружения.

По данным самой Microsoft, Defender в настоящий момент защищает более миллиарда компьютеров под управлением операционной системы Windows 10. Другими словами, операторы Zloader делают ставку на немалый масштаб кампании.

Атакующие также изменили вектор доставки зловреда: теперь используется не фишинг или спам, а реклама TeamViewer в Google. Если пользователь пройдёт по ссылке, его перенаправят на фейковый сайт с загрузкой.

В результате жертва скачивает подписанный вредоносный MSI-установщик, задача которого — инсталлировать в систему Zloader. В отчёте компании Cocomazzi эксперты описывают эти кибератаки следующим образом:

«Киберпреступники в новой кампании продемонстрировали более сложные атаки с упором на незаметность и уход от детектирования. Дроппер первой ступени претерпел изменения: больше не используется вредоносный документ, зато фигурирует подписанный MSI-установщик».

 

Как можно понять из графики выше, Zloader также запускает команду для отключения и удаления службы Microsoft Defender. Напомним, что в июле ZLoader продемонстрировал ещё один трюк — отключение предупреждений о макросах.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Эксперты составили список любимых уязвимостей операторов шифровальщиков

Специалисты в области кибербезопасности составили список уязвимостей, которые чаще всего эксплуатируются в атаках операторов шифровальщиков. Благодаря этому списку у организаций всегда будет чёткое представление, что нужно патчить в первую очередь.

Саму идею подал Аллан Лиска, один из членов команды Recorded Future CSIRT. После того как её поддержали другие эксперты, список уязвимостей начал расти и теперь в нём можно найти дыры в десятках программ и аппаратных составляющих.

По словам исследователя под псевдонимом Pancak3, в список также начали включать активно эксплуатируемые бреши. Сейчас всё это представлено в виде диаграммы, с помощью которой системные администраторы и безопасники смогут выстроить грамотную стратегию защиты своей сети от операторов программ-вымогателей.

 

Стоит отметить, что это крайне актуальная инициатива, поскольку в этом году управляющие шифровальщиками киберпреступники добавили в арсенал несколько опасных эксплойтов. Например, на этой неделе злоумышленники начали использовать RCE-брешь в Windows MSHTML, которая получила идентификатор CVE-2021-40444.

А шифровальщик Conti проникал в корпоративные сети благодаря уязвимым серверам Microsoft Exchange, в которых нашли уязвимости ProxyShell: CVE-2021-34473, CVE-2021-34523, CVE-2021-31207.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru