新Zloaderマルウェア、Windows Defenderを無効にして検知を逃れていることが判明

Azure-Defender

現在活発に攻撃を行われているZloaderマルウェアは、被害者のコンピュータ上でMicrosoft Defender Antivirus(旧Windows Defender)を無効にし、検出を回避していることがわかりました。

マイクロソフトの統計によると、「Microsoft Defender Antivirus」はWindows 10を搭載した10億台以上のシステムにプレインストールされているマルウェア対策ソリューションで、攻撃者はマルウェアの配信方法をスパムやフィッシングメールから、Google Adwordsを通じて公開されるTeamViewer Google広告に方針転換し、ターゲットを偽のダウンロードサイトにリダイレクトしています。

そこからZloaderマルウェアのペイロードをコンピュータにインストールするための署名入りの悪質なMSIインストーラーをダウンロードするように仕向けられます。

SentinelLabs社のセキュリティ研究者であるAntonio Pirozzi氏とAntonio Cocomazzi氏は発表されたレポートの中で、「今回の調査で分析された攻撃の連鎖は、より高いレベルのステルス性を実現するために、攻撃の複雑性が増していることを示している」と述べています。

https://www.sentinelone.com/labs/hide-and-seek-new-zloader-infection-chain-comes-with-improved-stealth-and-evasion-mechanisms/

ZLoaderは典型的なバンキングトロイの木馬で、ウェブインジェクションを実装してクッキーやパスワード、あらゆる機密情報を盗みます。

世界中の金融機関のユーザーを攻撃し、EgregorやRyukなどのランサムウェアファミリーの配信にも使用されており、バックドア機能を提供し、他の形態のマルウェアを配信するための汎用ローダーとしても機能します。

新しいバージョンでは、VNCモジュールが実装されており、ユーザーが隠しチャネルを開くことで、オペレーターが被害者のシステムにリモートアクセスできるようになっています。ZLoaderは、主にDDE(ダイナミック・データ・エクスチェンジ)とマクロの難読化を利用して、細工した文書を通じて最終的なペイロードを配信します。

第一段階のドロッパーは、従来の悪意のある文書からステルス性のある署名入りMSIペイロードに方針転換されています。この攻撃は、バックドアされたバイナリと一連のLOLBASを使用して防御システムを回避し、ペイロードを実行します。

オーストラリアとドイツの銀行の顧客に焦点を当てた攻撃

Zloader(TerdotおよびDELoaderとしても知られています)は、2015年8月に複数の英国の金融機関の顧客を攻撃するために使用され、最初に発見されたバンキングトロイの木馬です。

「Zeus Panda」や「Floki Bot」と同様に、このマルウェアは10年以上前にネット上に流出したZeus v2トロイの木馬のソースコードをほぼ完全にベースにしています。

このバンキングトロイの木馬は、オーストラリア、ブラジル、北米など世界中の銀行を標的にしており、ソーシャルエンジニアリングを利用して感染した顧客に認証コードや認証情報を渡すように仕向けるウェブインジェクションによって財務データを取得します。

最近では「Ryuk」や「Egregor」などのランサムウェアのペイロードの配信にも使用されています。また、Zloaderは、バックドアやリモートアクセスの機能を備えており、感染したデバイスにさらなるペイロードを投下するマルウェアローダーとしても使用できます。

SentinelLabsの調査によると、今回のキャンペーンは主にドイツとオーストラリアの銀行機関の顧客を対象としています。

この不正広告キャンペーンを2020年の年明けから追跡しているMalwareBytesは、攻撃者がアダルトをテーマにした悪意のあるサイトを経由してFalloutエクスプロイトキットを使用したSmoke Loaderマルウェアドロッパーをターゲットに感染させていると見ています。

2021年8月末からはDiscord、TeamViewer、Zoom、QuickBooksを模したサイトに切り替えており、セキュリティ研究者のnao_sec氏によると個人ではなく企業をターゲットにしている可能性が高いとのことです。

Leave a Reply

Your email address will not be published.