新型ZLoader木马变体通过伪造的TeamViewer下载广告传播

在谷歌等搜索引擎上搜索 TeamViewer 远程桌面软件的用户被重定向到恶意链接，这些链接将ZLoader恶意软件投放到他们的系统上，同时采用更隐蔽的感染链，使其能够在受感染的设备上逗留并逃避安全解决方案的检测。

“该恶意软件是从通过 Google Adwords 发布的 Google 广告中下载的”SentinelOne 的研究人员在周一发布的一份报告中表示。“在这次恶意活动中，攻击者使用间接方式来危害受害者，而不是使用直接危害受害者的经典方法，例如通过网络钓鱼。”

根据极牛网GEEKNB.COM小编的梳理，ZLoader（又名 Silent Night 和 ZBot）于 2016 年首次被发现，是一种功能齐全的银行木马和另一种名为 ZeuS 的银行恶意软件的分支，较新的版本实现了 VNC 模块，允许攻击者远程访问被控制的系统。该恶意软件正在积极开发中，近年来犯罪分子产生了一系列变种，同样受到 2011 年 ZeuS 源代码泄漏的推动。

最新一波攻击被认为是针对澳大利亚和德国金融机构的用户，其主要目标是拦截用户对银行门户的 Web 请求并窃取银行凭据。但该活动也值得注意，因为它采取了一些措施来保持低调，包括运行一系列命令，通过禁用 Windows Defender 来隐藏恶意活动。

当用户点击谷歌在搜索结果页面上显示的广告并被重定向到攻击者控制下的虚假 TeamViewer 站点时，感染链就开始了，从而诱骗受害者下载恶意但已签名的软件变体（“Team-查看器.msi”）。假安装程序充当第一阶段释放器，触发一系列操作，包括下载旨在削弱机器防御的下一阶段释放器，并最终下载 ZLoader DLL 负载（“tim.dll”）。

“起初，它通过 PowerShell cmdlet Set-MpPreference 禁用所有 Windows Defender 模块，”SentinelOne 高级威胁情报研究员 Antonio Pirozzi 说。“然后它会添加排除项，例如 regsvr32、*.exe、*.dll，以及 cmdlet Add-MpPreference，以对 Windows Defender 隐藏恶意软件的所有组件。”

这家网络安全公司表示，它发现了模仿 Discord 和 Zoom 等流行应用程序的其他工件，这表明攻击者除了利用 TeamViewer 之外，还进行了多项活动。

这项研究中分析的攻击链表明，为了达到更高的隐蔽性，攻击的复杂性是如何增加的，它使用了通过网络钓鱼电子邮件危害受害者的经典方法的替代方法。用于安装第一阶段 dropper 的技术已从对受害者进行社会工程更改为打开恶意文档，再到使用提供隐蔽签名 MSI 有效负载的链接毒害用户的网络搜索。