È in corso una campagna malevola del trojan bancario Zloader che, in questa nuova variante, avvia una catena d’infezione in grado di disabilitare Windows Defender, l’antivirus di Microsoft installato su un miliardo di computer con sistema operativo Windows 10, in modo tale da passare inosservato a qualsiasi controllo e mirare diritto ai dati bancari e alle credenziali di accesso all’home banking delle vittime.
Inoltre, il temibile malware ha cambiato il vettore di propagazione: Zloader non si propaga più attraverso e-mail di phishing (che ci invitano a cliccare su un determinato link o a scaricare un certo file) o spam, ma attraverso le pubblicità di TeamViewer e Zoom su Google Adwords. Le Google ads di Microsoft TeamViewer ridirigono gli obiettivi verso siti di fake download da cui scaricare il payload, avviando così la catena infettiva.
Indice degli argomenti
Zloader, l’inganno iniziale
Gli utenti che cliccano su questi messaggi pubblicitari sono indotti a scaricare installer malevoli nascosti in formato MSI che puntano a iniettare il payload di Zloader sui computer target.
La tipologia di attacco del malware, dunque, fa un salto di livello agendo attraverso le Google AdWords di Discord, plugin Java, Microsoft TeamViewer e Zoom. Un’alternativa alle tattiche consuete di social-engineering via phishing.
La tecnica, inoltre, è completamente differente anche rispetto a quella utilizzata dall’ultima variante del malware che si diffondeva attraverso e-mail di phishing con allegati documenti Word contenenti macro non malevoli per bypassare i filtri di controllo: una volta attivate, però, le macro scaricavano il payload, dando il via alla catena infettiva del malware bancario.
La catena d’infezione di Zloader
Secondo i ricercatori di SentinelLabs che hanno isolato alcuni campioni della nuova variante di Zloader, quando un utente cerca su Google “TeamViewer download” (o altre parole chiave simili ad esempio a tema Zoom), una pubblicità su Google effettua il redirect verso un sito fake di TeamViewer sotto controllo dell’attaccante.
Da quel momento in poi l’utente ingannato viene indotto a scaricare un installer fasullo in formato MSI e firmato, con tanto di timestamp della firma del 23 agosto.
“La catena di attacchi analizzati in questo studio mostra come la complessità degli attacchi stia crescendo, acquisendo nuove capacità di essere furtiva e ingannevole” spiegano in un blog post i ricercatori di cyber-sicurezza di SentinelLabs, Antonio Pirozzi e Antonio Cocomazzi.
“La prima fase del file vettore è stata modificata dal classico documento malevole a un furtivo payload registrato in formato MSI. Esso sfrutta sistemi con backdoor e una serie di LOLBAS (Living Off The Land Binaries and Scripts, file già presenti nel sistema operativo che si prestano ad abusi e che possono essere impiegati per azioni malevole, ndr) per alterare le difese e i proxy per eseguire i propri payload”.
Una volta scaricato ed eseguito il file MSI, viene avviato un wizard che crea la seguente directory C:/Program Files (x86)/Sun Technology Network/Oracle Java SE in cui viene archiviato il file setup.bat.
Dopodiché, la funzione cmd.exe integrata in Windows viene usata per eseguire questo file che, a sua volta, scarica un dropper di secondo livello che poi avvia una terza fase dell’infezione eseguendo uno script chiamato updatescript.bat.
È quest’ultimo script che completa la catena infettiva della nuova variante di Zloader disattivando Windows Defender.
Innanzitutto, disabilita tutti i moduli di Windows Defender attraverso il comando PowerShell cmdlet Set-MpPreference.
Quindi, per nascondere tutte le sue componenti malevoli, aggiunge le esclusioni per i seguenti file: regsvr32, *.exe, *.dll mediante il cmdlet (un comando semplice usato nell’ambiente PowerShell) Add-MpPreference.
A questo punto, il payload scarica un file vettore per la quarta fase dell’infezione dall’URL hxxps://pornofilmspremium.com/tim[dot]exe, lo salva come tim.exe e lo esegue tramite la funzione legittima di Windows explorer.exe. Uno stratagemma, quest’ultimo, che consente di rompere la correlazione parent/child tipicamente utilizzata dalle soluzioni di Endpoint Detection and Response (EDR) per il rilevamento di codici malevoli.
Lo script tim.bat, inoltre, scarica a sua volta un altro script, chiamato nsudo.bat, che esegue più operazioni con l’obiettivo di elevare i privilegi sul sistema e compromettere le difese:
- innanzitutto, controlla se il contesto corrente di esecuzione ha i privilegi del gruppo SYSTEM;
- quindi, effettua un’elevazione di privilegi per eseguire un processo con cui apportare modifiche al sistema;
- ottenuta l’elevazione di privilegi, lo script tim.bat viene eseguito ed esegue i passaggi per disabilitare Windows Defender in maniera persistente, assicurandosi che il servizio WinDefend venga eliminato al prossimo avvio attraverso l’utilità nsudo;
- a questo punto, lo script nsudo.bat disattiva anche completamente la sicurezza UAC (User Account Control) di Microsoft;
- infine, forza il riavvio del sistema per fare in modo che le modifiche vengano applicate.
Come si vede, quindi, la nuova variante di Zloader fa un uso massiccio di utility e funzionalità legittime di Windows per bypassare le difese antimalware e a nascondersi ad eventuali controlli.
I consigli per difendersi dal malware
La nuova tecnica di diffusione e infezione utilizzata dalla variante di Zloader rendono particolarmente insidioso il malware, oltre che particolarmente difficile da identificare soprattutto se si utilizza esclusivamente Windows Defender come sistema di protezione del proprio computer.
Per evitare una possibile compromissione del nostro computer è importante, quindi, fare sempre le giuste valutazioni prima di cliccare su un banner pubblicitario o su link senza prima verificare che puntino realmente al sito atteso.
