【偷偷摸摸】加密假Java應用程式避檢測 惡意軟件Zloader借Google ads散播
Microsoft 表示,經常被用作散播勒索軟件、名為 Zloader 的惡意軟件,現時在 Google Ads 中傳播。這種散播勒索軟件的惡意軟件,使用以加密簽名偽造的 Java 應用程式來避過檢測,將網絡釣魚活動以新型隱密的攻擊方法傳開。該惡意軟件是網絡犯罪界的重要部分,並在最近突然引起 Microsoft 和美國網路安全與基礎安全署(CISA)的注意。
CISA 早前警告,ZLoader 被用作散播 Conti 勒索軟件服務,而 Conti 主要用於向勒索軟件散播者支付工資,而不是作出新感染。ZLoader 是一種銀行木馬,會被用作在網絡中竊取 cookie、密碼和其他敏感資料。但據安全公司 SentinelOne 稱,Zloader 也被用於傳播勒索軟件,具備為攻擊者提供後門功能和安裝其他形式的惡意軟件的能力。Microsoft 指,ZLoader 營運商正以 Google Keywords 廣告來散播各種惡意軟件,當中包括 Ryuk 勒索軟件。雖然用這種方法傳播勒索軟件並非新鮮事,但每日數以十億人使用 Google 的服務,事件仍然是值得關注。
Microsoft 指出,在 9 月初分析 ZLoader 活動時,觀察到傳播方式出現了顯著變化,就是它從傳統電子郵件活動,變成濫用線上廣告平台傳播。攻擊者購買廣告位置,其連結指向託管惡意軟件的網站,而這些網站偽裝成合法安裝程式般存在。Microsoft 續指,該活動濫用了 Google Ads,雖然 Microsoft 365 Defender 透過阻止惡意網站、惡意行為及有效負載來保護客戶,但仍向 Google 報告了調查結果,並指與此相關的活動在過去幾天有所減少,但仍會繼續監控其發展情況。
惡意攻擊者還註冊了一家詐騙公司,以便對惡意檔案進行加密簽名,該檔案聲稱安裝了一個以 Java 為根基的合法應用程式,但事實上卻是載有 ZLoader,使攻擊者可以存取受影響的設備,而已作加密簽署的應用程式,能有效避過反惡意軟件系統的檢測。
Microsoft 亦特別強調了 ZLoader 的業務生態系統運行的成熟度,並指該營運商可將此存取權限出售給其他攻擊者,而這些攻擊者可以將其用於自己的目標,例如部署 Cobalt Strike,甚至勒索軟件。
據安全公司 Sentinal 稱,該惡意軟件活動主要針對澳洲和德國銀行的客戶,而該惡意軟件能夠令所有 Windows 10 Defender 反惡意軟件模塊禁用。
Microsoft 表示,攻擊者使用 Google search keywords 來下廣告,將受害者導向到受感染的網域,然後將他們再跳轉到攻擊者擁有的網域進行下載,該惡意軟件使用 PowerShell 來禁用安全設置和 Windows Defender 等產品。