【安全资讯】ZLoader银行木马针对澳大利亚和德国金融机构用户

引言

ZLoader（又名Terdot）于 2016 年首次被发现，是ZeuS 银行木马的分支，通过网络注入来窃取 cookie、密码和敏感信息。研究人员发现，新的ZLoader攻击活动具有更隐蔽的分发机制，通过禁用 Windows Defender 来隐藏恶意活动。该活动针对澳大利亚和德国金融机构的用户，其主要目标是拦截用户对银行门户的 Web 请求并窃取银行凭据。

简况

ZLoader 是一种典型的银行木马，于2016年首次被发现，是Zeus 银行木马的一个分支。它通过网络注入来窃取 cookie、密码和敏感信息，攻击世界各地金融机构的用户，还被用于提供勒索软件家族，如Egregor和Ryuk。它还提供后门功能并充当通用加载程序来传播其他形式的恶意软件。较新的版本实现了一个 VNC 模块，允许用户打开一个隐藏的通道，使操作员可以远程访问受害系统。ZLoader 主要依靠动态数据交换 (DDE) 和宏混淆来通过精心设计的文档交付最终有效负载。

新的ZLoader攻击活动通过禁用 Windows Defender 并依靠本地二进制文件和脚本 (LOLBAS) 来逃避检测，从而展示了更高级别的隐蔽性。最新一波攻击针对澳大利亚和德国金融机构的用户，其主要目标是拦截用户对银行门户的 Web 请求并窃取银行凭据。

该恶意软件是从通过 Google Adwords 发布的 Google 广告中下载的，用户在 www.google.com 上搜索以找到下载所需软件的网站，随后点击谷歌在搜索结果页面上显示的广告，并被重定向到攻击者控制下的虚假 TeamViewer 站点，下载带有签名的 MSI 格式的恶意软件变体（"Team-Viewer.msi"）。安装程序充当第一阶段释放器，触发一系列操作，包括下载旨在削弱机器防御的下一阶段释放器，并最终下载 ZLoader DLL 负载（“tim.dll”）。ZLoader的感染链概述如下图：

总结

本研究中分析的攻击链显示了新的 ZLoader攻击活动的复杂性和更高的隐蔽水平，第一阶段 dropper已从经典的恶意文档更改为隐蔽的、已签名的 MSI 有效负载，它使用后门二进制文件和一系列 LOLBAS 来削弱防御并代理其有效负载的执行。此外，研究人员还发现了模仿 Discord 和 Zoom 等流行应用程序的其他工件，这表明攻击者除了利用 TeamViewer 之外，可能还进行了多项其他活动。