Злоумышленники запустили новые кибератаки с использованием вредоносной программы Zloader, которые на этот раз отметились более продуманной цепочкой заражения. В частности, вредонос теперь отключает встроенный антивирус Microsoft Defender (бывший Windows Defender), чтобы избежать обнаружения.
По данным самой Microsoft, Defender в настоящий момент защищает более миллиарда компьютеров под управлением операционной системы Windows 10. Другими словами, операторы Zloader делают ставку на немалый масштаб кампании.
Атакующие также изменили вектор доставки зловреда: теперь используется не фишинг или спам, а реклама TeamViewer в Google. Если пользователь пройдёт по ссылке, его перенаправят на фейковый сайт с загрузкой.
В результате жертва скачивает подписанный вредоносный MSI-установщик, задача которого — инсталлировать в систему Zloader. В отчёте компании Cocomazzi эксперты описывают эти кибератаки следующим образом:
«Киберпреступники в новой кампании продемонстрировали более сложные атаки с упором на незаметность и уход от детектирования. Дроппер первой ступени претерпел изменения: больше не используется вредоносный документ, зато фигурирует подписанный MSI-установщик».
https://www.anti-malware.ru/files/zl...tack_chain.jpg
Как можно понять из графики выше, Zloader также запускает команду для отключения и удаления службы Microsoft Defender. Напомним, что в июле ZLoader продемонстрировал ещё один трюк — отключение предупреждений о макросах.