Regresa una nueva variante del malware bancario ZLoader con cebos sobre el Covid-19

3 junio, 2020
8 Compartido 1,349 Visualizaciones

El equipo de investigadores de Proofpoint ha analizado el regreso de una variante del malware bancario ZLoader

Esta variante del malware, después de desaparecer a principios de 2018, se ha convertido en una de las amenazas más destacadas del panorama de ciberataques desde diciembre de 2019 con al menos una campaña por email al día. Entre los cebos utilizados en estos ataques aparecen temas relacionados con el Covid-19, como consejos para prevenir estafas o información sobre pruebas médicas, además de otros asuntos como envíos de facturas.

Tal y como se muestra en la imagen, en una de las campañas del ZLoader, detectada el pasado 4 de abril, se informaba a la víctima de la posibilidad de haber estado en contacto con un familiar, amigo o vecino con coronavirus y, a través de un archivo adjunto malicioso, se le ofrecían supuestamente más detalles para poder realizarse gratuitamente un test médico en su hospital más cercano.    

Desde Proofpoint comentan que, tras casi dos años desde la última actividad del ZLoader, comenzaron a observar campañas que utilizaban un nuevo malware bancario con una funcionalidad y un tráfico de red similares a los de entonces. Sin embargo, durante al análisis, comprobaron que faltaban algunas de las características más avanzadas del ZLoader original, por lo que el nuevo malware no sería una continuación de la cepa de 2018, sino probablemente la bifurcación de una versión anterior.

El malware ZLoader apareció por primera vez en 2006 como una variante del troyano bancario Zeus. Se sirve de ataques de webinject para robar credenciales y otros datos privados de usuarios pertenecientes a las entidades financieras objetivo. También puede hacerse con contraseñas y cookies almacenadas en los navegadores web de las víctimas. Con toda esta información sustraída, el ZLoader podría usar el cliente de computación virtual en red (VNC) para permitir a los ciberdelincuentes conectarse al sistema de la víctima y realizar así transacciones fraudulentas desde un dispositivo legítimo.

Sobre el resurgimiento del ZLoader, la directora sénior de Investigación y Detección de Amenazas de Proofpoint, Sherrod DeGrippo, explica que «a menudo las amenazas no desaparecen, sino que regresan más tarde con variantes como así ha sido en el caso del malware ZLoader, que en su día tuvo que ser lo suficientemente efectivo como para que los ciberdelincuentes hayan considerado reutilizarlo de nuevo». Aun así lo más sorprendente, según DeGrippo, es que «en estos cinco meses la variante del ZLoader ha estado en desarrollo activo con más de 25 versiones, casi a una o dos distintas por semana, por lo que se prevé que sea una amenaza activa a corto y medio plazo».

El malware ZLoader emplea varios mecanismos para obstaculizar su detección y revertir ingeniería, como códigos basura, ofuscaciones de constantes, hashing de las funciones de Windows API, encriptados de cadenas y listas negras basadas en el enfoque de comando y control.  Algunas de las campañas analizadas desde enero por Proofpoint, entre las que se cuenta más de un centenar, tenían como destinatario a usuarios en Estados Unidos, Canadá, Alemania, Polonia y Australia.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

«La seguridad cibernética es lo más importante para todos en Europa y CyberTech servirá como foro para el diálogo»
Actualidad
28 compartido2,391 visualizaciones
Actualidad
28 compartido2,391 visualizaciones

«La seguridad cibernética es lo más importante para todos en Europa y CyberTech servirá como foro para el diálogo»

Vicente Ramírez - 27 agosto, 2019

Hablamos con la organización de CyberTech Europe 2019, una de las citas más importantes para la ciberseguridad europea que tendrá…

5 consejos para comprar online de forma segura
Actualidad
8 compartido2,457 visualizaciones
Actualidad
8 compartido2,457 visualizaciones

5 consejos para comprar online de forma segura

Redacción - 13 marzo, 2020

Los ciberdelincuentes suplantan las plataformas de compra online o bien las usan para estafar a sus víctimas. El auge de…

PROTECTIVE pone en marcha la segunda fase de pruebas de su plataforma de Ciberdefensa
Soluciones Seguridad
630 visualizaciones
Soluciones Seguridad
630 visualizaciones

PROTECTIVE pone en marcha la segunda fase de pruebas de su plataforma de Ciberdefensa

Samuel Rodríguez - 14 septiembre, 2018

El proyecto H2020 PROTECTIVE, para la gestión proactiva de riesgos de ciberseguridad mediante la mejora de la conciencia cibernética, acaba…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.