Regresa una nueva variante del malware bancario ZLoader con cebos sobre el Covid-19

3 junio, 2020
8 Compartido 1,314 Visualizaciones

El equipo de investigadores de Proofpoint ha analizado el regreso de una variante del malware bancario ZLoader

Esta variante del malware, después de desaparecer a principios de 2018, se ha convertido en una de las amenazas más destacadas del panorama de ciberataques desde diciembre de 2019 con al menos una campaña por email al día. Entre los cebos utilizados en estos ataques aparecen temas relacionados con el Covid-19, como consejos para prevenir estafas o información sobre pruebas médicas, además de otros asuntos como envíos de facturas.

Tal y como se muestra en la imagen, en una de las campañas del ZLoader, detectada el pasado 4 de abril, se informaba a la víctima de la posibilidad de haber estado en contacto con un familiar, amigo o vecino con coronavirus y, a través de un archivo adjunto malicioso, se le ofrecían supuestamente más detalles para poder realizarse gratuitamente un test médico en su hospital más cercano.    

Desde Proofpoint comentan que, tras casi dos años desde la última actividad del ZLoader, comenzaron a observar campañas que utilizaban un nuevo malware bancario con una funcionalidad y un tráfico de red similares a los de entonces. Sin embargo, durante al análisis, comprobaron que faltaban algunas de las características más avanzadas del ZLoader original, por lo que el nuevo malware no sería una continuación de la cepa de 2018, sino probablemente la bifurcación de una versión anterior.

El malware ZLoader apareció por primera vez en 2006 como una variante del troyano bancario Zeus. Se sirve de ataques de webinject para robar credenciales y otros datos privados de usuarios pertenecientes a las entidades financieras objetivo. También puede hacerse con contraseñas y cookies almacenadas en los navegadores web de las víctimas. Con toda esta información sustraída, el ZLoader podría usar el cliente de computación virtual en red (VNC) para permitir a los ciberdelincuentes conectarse al sistema de la víctima y realizar así transacciones fraudulentas desde un dispositivo legítimo.

Sobre el resurgimiento del ZLoader, la directora sénior de Investigación y Detección de Amenazas de Proofpoint, Sherrod DeGrippo, explica que «a menudo las amenazas no desaparecen, sino que regresan más tarde con variantes como así ha sido en el caso del malware ZLoader, que en su día tuvo que ser lo suficientemente efectivo como para que los ciberdelincuentes hayan considerado reutilizarlo de nuevo». Aun así lo más sorprendente, según DeGrippo, es que «en estos cinco meses la variante del ZLoader ha estado en desarrollo activo con más de 25 versiones, casi a una o dos distintas por semana, por lo que se prevé que sea una amenaza activa a corto y medio plazo».

El malware ZLoader emplea varios mecanismos para obstaculizar su detección y revertir ingeniería, como códigos basura, ofuscaciones de constantes, hashing de las funciones de Windows API, encriptados de cadenas y listas negras basadas en el enfoque de comando y control.  Algunas de las campañas analizadas desde enero por Proofpoint, entre las que se cuenta más de un centenar, tenían como destinatario a usuarios en Estados Unidos, Canadá, Alemania, Polonia y Australia.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

CISO Round Table: La importancia creciente de este rol en la toma de decisiones de la empresa
Actualidad
38 compartido3,659 visualizaciones
Actualidad
38 compartido3,659 visualizaciones

CISO Round Table: La importancia creciente de este rol en la toma de decisiones de la empresa

Vicente Ramírez - 26 junio, 2019

La mesa redonda más esperada de CISO Day, sentó a l@s CISOs de Naturgy, Orange, Ferrovial, Liberbank y Codere. ¿En…

El 60% del phishing en redes sociales utiliza perfiles falsos de Facebook
Actualidad
12 compartido2,197 visualizaciones
Actualidad
12 compartido2,197 visualizaciones

El 60% del phishing en redes sociales utiliza perfiles falsos de Facebook

Vicente Ramírez - 8 junio, 2018

Este liderazgo se debe probablemente a los más de 2.100 millones de usuarios activos de Facebook al mes, incluidos aquellos…

¿Cómo se prevén y se frenan los riesgos tecnológicos en empresas e instituciones?
Eventos
14 compartido1,188 visualizaciones
Eventos
14 compartido1,188 visualizaciones

¿Cómo se prevén y se frenan los riesgos tecnológicos en empresas e instituciones?

Vicente Ramírez - 18 marzo, 2019

Te lo contamos en el  II Congreso de Auditoría & GRC “Gestión de Riesgos Tecnológicos y Auditoría en el Marco de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.