通过虚假TeamViewer下载广告传播的新的隐形ZLoader变体

#在谷歌等搜索引擎上搜索TeamViewer远程桌面软件的用户被重定向到恶意链接，这些链接将ZLoader恶意软件放到他们的系统中，同时包含一个更隐蔽的感染链，允许它在受感染的设备上逗留，并逃避安全解决方案的检测

#“该恶意软件是从通过谷歌广告词发布的谷歌广告下载的，”SentinelOne的研究人员在周一发布的一份报告中说。“在这次活动中，攻击者使用间接的方式来危害受害者，而不是使用传统的直接危害受害者的方式，例如通过网络钓鱼。”

#ZLoader（又名Silent Night和ZBot）于2016年首次被发现，它是一种功能齐全的银行特洛伊木马，是另一种名为ZeuS的银行恶意软件的分支，较新版本实现了一个VNC模块，允许对手远程访问受害者系统。该恶意软件正在积极开发中，近年来犯罪分子催生了一系列变种，2011年宙斯源代码泄露也同样助长了这一趋势

#据信，最新一波攻击的目标是澳大利亚和德国金融机构的用户，其主要目标是拦截用户对银行门户网站的web请求并窃取银行凭证。但这场运动也值得注意，因为它采取了一些措施来保持低调，包括运行一系列命令，通过禁用Windows Defender来隐藏恶意活动

当用户点击谷歌在搜索结果页面上显示的广告时，感染链开始，并被重定向到攻击者控制下的虚假TeamViewer网站，从而诱使受害者下载该软件的一个恶意但签名的变体（“Team Viewer.msi”）。假安装程序充当第一级滴管，触发一系列操作，包括下载下一级滴管，以削弱机器的防御能力，并最终下载ZLoader DLL负载（“tim.DLL”）

#“首先，它通过PowerShell cmdlet Set-MpPreference禁用所有Windows Defender模块，”SentinelOne高级威胁情报研究员安东尼奥·皮罗齐说。“然后，它使用cmdlet Add-MpPreference添加排除，例如regsvr32、*.exe、*.dll，以对Windows Defender隐藏恶意软件的所有组件。”

#这家网络安全公司表示，他们发现了模仿Discord和Zoom等流行应用程序的其他人工制品，这表明攻击者除了利用TeamViewer之外，还有多个活动正在进行

#“本研究分析的攻击链显示了攻击的复杂性是如何增长的，以达到更高级别的隐蔽性，使用了一种替代传统的方法，通过钓鱼电子邮件来损害受害者，”皮罗齐解释道。“用于安装第一阶段滴管的技术已从对受害者进行社会工程变成打开恶意文档，再到通过提供秘密签名MSI有效载荷的链接毒害用户的网络搜索。”