Zloader, un logiciel malveillant bancaire qui a emprunté certaines fonctions à Zeus (par exemple, le contrôle de version, nrv2b, binstorage-labels), a récemment été observé en train d'être distribué via des escroqueries par phishing sur le thème du COVID-19.
Constat et Antécédents
Le malware ZLoader a été repéré dans plus de 100 campagnes d'email depuis le début de 2020. Le cheval de Troie est toujours en développement actif, avec 25 versions vues jusqu'à présent depuis son retour en décembre 2019.
- En mai 2020, des spams de plusieurs acteurs ont été observées à l'aide de fichiers PDF liés à un document Microsoft Word contenant du code macro qui télécharge et exécute une version de ZLoader. Cette distribution est différente de la variante originale observée entre 2016 et 2018.
- En avril 2020, une campagne d'email a été observée diffusant des feuilles Excel protégées par mot de passe et un message concernant un membre de la famille, un collègue ou un voisin qui a contacté COVID-19 tout en prétendant fournir des informations sur les endroits où se faire tester. La feuille Excel a utilisé des macros Excel 4.0 pour télécharger et exécuter la version 1.1.22.0 de ZLoader.
- En mars 2020, certains leurres frauduleux par courrier électronique ont été repérés à l'aide de divers sujets, notamment des conseils de prévention des arnaques COVID-19, des tests COVID-19 et des factures destinées à distribuer le logiciel malveillant bancaire ZLoader.
Quelques informations
Les fraudeurs utilisent le code divulgué du malware Zeus pour voler des données aux clients bancaires sur plusieurs continents. Avec ce code disponible, de nouvelles variantes de Zeus ont continué à apparaître. Il souligne l'efficacité de Zeus, car ses nouvelles variantes peuvent toujours faire du mal.
- Historiquement, les opérateurs derrière les logiciels malveillants ZLoader ont principalement ciblé des organisations basées au Canada, mais depuis janvier 2020, ils ont été surpris en train d'attirer des utilisateurs aux États-Unis, au Canada, en Allemagne, en Pologne et en Australie liés aux sujets COVID-19.
- Entre 2016 et 2017, le logiciel malveillant ZLoader a attaqué plusieurs cibles financières canadiennes par le biais de courriels d'hameçonnage et de spam se faisant passer pour l'Agence du revenu du Canada (ARC) et via le kit d'exploitation Sundown.
- Le logiciel malveillant utilise des fonctionnalités de logiciels malveillants bancaires typiques telles que les injections Web, le vol de mots de passe et de cookies et l'accès aux appareils via VNC pour collecter des données financières qui utilisent l'ingénierie sociale pour convaincre les utilisateurs infectés de distribuer des codes d'authentification, des informations d'identification et des informations personnellement identifiables.
Mesures à prendre
Les utilisateurs ne doivent pas ouvrir de pièces jointes ou de liens Web dans des e-mails non pertinents reçus d'adresses inconnues ou suspectes. Les utilisateurs doivent éviter de télécharger ou de mettre à jour des logiciels à partir de sites Web tiers ou P2P. Les utilisateurs doivent utiliser un puissant logiciel anti-malware et effectuer une analyse complète du système. Par mesure de précaution, les utilisateurs doivent également changer fréquemment leurs mots de passe pour les comptes financiers.
