ZLoader (también conocido como DELoader y Terdot) es un programa malicioso que se distribuye a través de páginas web maliciosas que muestran una notificación de error falsa. Además, la investigación muestra que ZLoader está diseñado para infectar sistemas con otro programa malicioso, un troyano bancario llamado Zeus.
En una de las campañas de ZLoader, detectada el 4 de abril, se informó a la víctima de la posibilidad de haber estado en contacto con un familiar, amigo o vecino con coronavirus y, a través de un adjunto malicioso, se les ofreció supuestamente más detalles para poder para realizar un examen médico gratuito en el hospital más cercano. Desde Proofpoint comentan que, luego de casi dos años desde la última actividad del ZLoader, comenzaron a observar campañas que utilizaban un nuevo malware bancario con una funcionalidad y tráfico de red similares a los de entonces.
El malware ZLoader apareció por primera vez en 2006 como una variante del troyano bancario Zeus. Utiliza ataques webinject para robar credenciales y otros datos privados de los usuarios que pertenecen a las instituciones financieras objetivo. También se puede hacer con contraseñas y cookies almacenadas en los navegadores web de las víctimas. Con toda esta información robada, el ZLoader podría usar el cliente de Computación de red virtual (VNC) para permitir que los ciberdelincuentes se conecten al sistema de la víctima y así realizar transacciones fraudulentas desde un dispositivo legítimo.
Esta amenaza emplea varios mecanismos para dificultar la detección y la ingeniería inversa, como el código basura, la ofuscación constante, el hash de las funciones de la API de Windows, el cifrado de cadenas y la creación de listas negras basadas en comandos y controles. Algunas de las campañas analizadas desde enero por Proofpoint, incluidas más de un centenar, estaban dirigidas a usuarios de Estados Unidos, Canadá, Alemania, Polonia y Australia.
Podemos seguir algunos consejos para evitar esta amenaza como: No descargues software a través de descargadores de terceros, redes peer-to-peer o cualquier otra herramienta que mencionamos anteriormente. Debe hacerse utilizando solo sitios web oficiales y confiables y enlaces de descarga directa. Los archivos adjuntos (o enlaces web) no deben abrirse en correos electrónicos irrelevantes que se reciban de direcciones desconocidas y sospechosas.
