Un malware bancaire appelé ZLoader, vu pour la dernière fois au début de 2018, a été repéré dans plus de 100 campagnes d’e-mails depuis le début de l’année.

Le cheval de Troie est en développement actif avec 25 versions vues à l’état sauvage depuis son retour en décembre 2019, la dernière observée ce mois-ci.

Plus léger sur les fonctionnalités avancées

Les campagnes de courrier électronique malveillant ciblent les utilisateurs aux États-Unis, au Canada, en Allemagne, en Pologne et en Australie avec des leurres liés aux sujets COVID-19 (conseils pour éviter les arnaques, les tests) et les factures.

Les chercheurs de Proofpoint notent dans un rapport aujourd’hui que le ZLoader distribué de cette manière est différent de la variante originale observée entre 2016 et 2018. Ils pensent que la nouvelle version est une fourchette de la précédente.

Plusieurs acteurs diffusent actuellement cette souche dans au moins une campagne d’email malveillants par jour. Ils utilisent des fichiers PDF liés à un document Microsoft Word contenant du code macro qui télécharge et exécute une version de ZLoader.

Depuis mars, ils ont commencé à utiliser le phishing sur le thème de COVID-19 en prétendant avertir les destinataires des escroqueries liées à la nouvelle pandémie de coronavirus.

IBM X-Force a également observé ces campagnes leurrer avec des documents contenant prétendument des détails sur les paiements de secours du gouvernement.

La variante actuelle manque de fonctionnalités avancées vues dans son prédécesseur. Par exemple, l’obfuscation du code et le cryptage des chaînes sont manquants. Malgré cela, il représente toujours une menace importante.

Infos WEB:  Six vulnérabilités critiques corrigées dans Magento

Il utilise des injections Web pour voler les informations d’identification et les informations bancaires privées des victimes ainsi que des données sensibles stockées dans les navigateurs, comme les cookies et les mots de passe.

L’acteur de la menace utilise ces données pour se connecter au compte bancaire en ligne de la victime. À l’aide d’un client VNC (Virtual Network Computing), ils effectuent des transactions à partir de l’ordinateur compromis.

Cela ne soulève aucun soupçon pour la banque car le transfert est initié à partir de l’ordinateur du client en utilisant des informations d’identification correctes. Il…

Voir la source de cette publication