El malware bancario ZLoader resurge con el COVID-19 como cebo

El equipo de investigadores de Proofpoint ha analizado el regreso de una variante del malware bancario ZLoader que, después de desaparecer a principios de 2018, se ha convertido en una de las amenazas más destacadas del panorama de ciberataques, con al menos una campaña por email al día.

Recomendados:  WEBINAR >> Vídeo colaboración y reuniones virtuales para una comunicación efectiva Registro  WEBINAR >> Automatización Inteligente de Procesos para asegurar la continuidad del negocio Registro

Entre los cebos utilizados en estos ataques aparecen temas relacionados con el Covid-19, como consejos para prevenir estafas o información sobre pruebas médicas, además de otros asuntos como envíos de facturas. En una de las campañas del ZLoader, detectada el pasado 4 de abril, se informaba a la víctima de la posibilidad de haber estado en contacto con un familiar, amigo o vecino con coronavirus y, a través de un archivo adjunto malicioso, se le ofrecían supuestamente más detalles para poder realizarse gratuitamente un test médico en su hospital más cercano.

Sobre el resurgimiento del ZLoader, la directora sénior de Investigación y Detección de Amenazas de Proofpoint, Sherrod DeGrippo, explica que "a menudo las amenazas no desaparecen, sino que regresan más tarde con variantes como así ha sido en el caso del malware ZLoader, que en su día tuvo que ser lo suficientemente efectivo como para que los ciberdelincuentes hayan considerado reutilizarlo de nuevo". Lo más sorprendente, según DeGrippo, es que "en estos cinco meses la variante del ZLoader ha estado en desarrollo activo con más de 25 versiones, casi a una o dos distintas por semana, por lo que se prevé que sea una amenaza activa a corto y medio plazo".

El malware ZLoader se sirve de ataques de webinject para robar credenciales y otros datos privados de usuarios pertenecientes a las entidades financieras objetivo. También puede hacerse con contraseñas y cookies almacenadas en los navegadores web de las víctimas. Con toda esta información sustraída, el ZLoader podría usar el cliente de computación virtual en red (VNC) para permitir a los ciberdelincuentes conectarse al sistema de la víctima y realizar transacciones fraudulentas desde un dispositivo legítimo.

ZLoader emplea varios mecanismos para obstaculizar su detección y revertir ingeniería, como códigos basura, ofuscaciones de constantes, hashing de las funciones de Windows API, encriptados de cadenas y listas negras basadas en el enfoque de comando y control.  Algunas de las campañas analizadas por Proofpoint, entre las que se cuenta más de un centenar, tenían como destinatarios a usuarios en Estados Unidos, Canadá, Alemania, Polonia y Australia.