研究人员发现，一个通过谷歌广告 传播 ZLoader 银行木马的有针对性的活动正在蔓延，并且正在使用一种机制来禁用受害者电脑上的所有 防火墙模块。
根据 SentinelLabs 的说法，为了降低检测率，运动的感染链还包括使用有符号滴管，加上 Windows 实用程序的后置版本 wextract.exe 嵌入 ZLoader 有效负载本身。
ZLoader 已经存在了一段时间，在宙斯银行木马的灰烬中出现了许多恶意程序分支，其源代码在近10年前被公布。
SentinelLabs 的分析师在周一发布的一篇关于新活动的帖子中指出: “(它)是一种典型的银行木马，实现了网络注入，以窃取 cookie、密码和任何敏感信息。”。“它攻击全球各地金融机构的用户，还被用于分发伊格雷戈和洛克等勒索软件家庭。它还提供后门功能，并充当一个通用的加载程序，传递其它形式的恶意软件。”
隐形 ZLoader 感染链从 Google AdWords 开始
研究人员发现，为了锁定受害者，这种恶意软件通过各种软件的虚假谷歌广告(通过谷歌 AdWords 发布)进行传播——这是一种间接替代诸如鱼叉式钓鱼邮件等社交工程策略的方法。这些诱饵包括 Discord，Java 插件，微软的 TeamViewer 和 Zoom。
据 SentinelLabs 称，因此，当某人在谷歌上说“ Team Viewer 下载”时，谷歌显示的一个广告会将该人重定向到攻击者控制下的一个假的 TeamViewer 站点。从那里，用户可以欺骗下载一个签名 MSI 格式的假安装程序，签名时间是8月23日。
研究人员解释说: “网络犯罪分子似乎设法获得了布兰普顿一家软件公司 flyintelleinc 颁发的有效证书。”。”该公司于2021年6月29日注册，表明威胁行为者可能为获得这些证书而对该公司进行了注册
禁用 Windows Defender
签名。MSI 文件当然不是合法软件的安装程序，而是恶意软件的第一阶段下垂器。
一旦下载，它运行一个安装向导，创建以下目录: c: Program Files (x86) Sun Technology Network Oracle Java SE，并删除一个。BAT 文件恰当地称为“ setup.BAT”
然后，使用内置的 Windows cmd.exe 函数执行该文件，该文件再下载第二阶段滴漏器，然后通过执行一个名为“ updatescript.bat”的脚本启动第三阶段感染
这个第三阶段的剧本执行大部分的防卫者杀害肮脏的工作。
研究人员解释说: “第三阶段滴管包含了削弱机器防御能力的大部分逻辑。”。“一开始，它通过 PowerShell cmdlet Set-MpPreference 禁用所有的 Windows Defender 模块。然后添加了一些排除项，比如 regsvr32，* 。Exe * .用 cmdlet Add-MpPreference 来隐藏恶意软件的所有组件，以防 Windows Defender。”
此时，它从 URL“ hxxps:// pornofilmspremium.com/tim 文件[ dot ] exe”下载一个第四阶段滴管，该文件被保存为“ tim.exe”，并通过合法的 Windows explorer. exe 函数执行。
研究人员解释说: “这使得攻击者可以打破端点检测和响应(edr)常用的父子关联来进行检测。”。
他们补充说，tim.exe 二进制文件实际上是合法的 Windows 实用程序 wextract.exe 的一个后缀版本，其中包含用于创建名为“ tim.bat”的新恶意批处理文件的附加代码
“ tim.bat 文件是一个非常短的脚本，它以 tim.DLL 的名称下载最终的 ZLoader DLL 有效负载,”他们指出。最终的有效载荷使用合法的 Windows 函数 regsvr32执行，该函数允许攻击者通过微软签名的二进制文件代理 DLL 的执行。
研究人员指出，大量使用合法的 Windows 工具和功能有助于帮助恶意软件避开防御系统和隐藏自己。
更多的国防回避
Bat 还有一个妙招: 它下载另一个名为“ nsudo.bat”的脚本，该脚本执行多个操作，目的是提高系统上的特权并削弱防御能力:
它通过验证对 SYSTEM 配置单元的访问来检查当前执行上下文是否具有特权。
它实现了一个自动提升 VBScript，旨在运行一个提升的进程以进行系统更改。
一旦提升发生，该脚本将以提升的特权运行。
该脚本通过确保在下一次启动时通过实用程序 NSudo 删除“ WinDefend”服务，从而执行在持久基础上禁用 Windows Defender 服务的步骤。
Bat 脚本还完全禁用 Microsoft 的 User Account Control (UAC)安全性。
它迫使计算机重新启动，以便进行更改。
提姆僵尸网络
正如一些恶意文件名所显示的，根据分析，网络犯罪的基础设施包括蒂姆僵尸网络。僵尸网络的结构涉及至少350个不同的网络域名。
“一些域名实现了 gate.php 组件，这是 ZLoader 僵尸网络的指纹,”研究人员解释说。“我们在调查过程中注意到，所有域名都是在2021年4月至8月期间注册的，并且在8月26日转用了新的 IP (195.24.66[ dot ]70)。”
这是研究人员第一次在 ZLoader 的活动中观察到这种特殊的攻击链，目前 ZLoader 的目标客户是澳大利亚和德国的银行机构。他们说，如果这次战役成功，他们的秘密攻击手段可能会出现在其他地方。
研究人员总结道: “攻击链… … 显示了为了达到更高的隐形级别，攻击的复杂性是如何增加的。”。“第一级滴管已经从经典的恶意文件变成了一个隐秘的、签名的 MSI 有效载荷。它使用后退的二进制程序和一系列(依靠陆地公用事业生存)来削弱防御能力，并代理其有效载荷的执行。”
是时候把威胁搜寻演变成对敌人的追逐了。加入威胁追踪网站和 Cybersixgill，不仅可以阻止攻击，还可以参观暗网，学习如何在下一次攻击前追踪威胁行为者。9月22日美国东部时间下午2点，与 Cybersixgill 的 Sumukh Tendulkar 和 Edan Cohen，以及独立研究人员和 vCISO Chris Roberts 和 Threatpost 主持人 Becky Bracken 一起注册现场讨论。