ZLoader, un troyano bancario que nos obliga a mejorar la ciberseguridad
Estuvo en el radar de la agencia norteamericana CISA (Cybersecurity and Infrastructure Security Agency) cuando en septiembre de 2021 nos alertaba de la actividad del ransomware Conti. Más tarde, Microsoft alertó de que los creadores de ZLoader estaban comprando anuncios AdSense de Google para distribuir y camuflar la amenaza, y, finalmente, Check Point Research también dio la voz de alarma.
Cada día se descubren nuevos archivos maliciosos, lo que significa que hay una mayor precisión a la hora de detectar sus ataques pero también que las amenazas mantienen su actividad y crecen los dispositivos afectados.
Qué es ZLoader
La información es poder, así que os informamos de la existencia de este malware y de su funcionamiento. ZLoader es una variante del famoso troyano bancario Zeus y hace uso de la técnica de inyección web con el fin de robar información sensible: cookies, contraseñas, credenciales bancarias o cualquier otro dato que pueda ser de gran valor. ZLoader, que fue creado en 2020, llega por correo electrónico mediante un archivo adjunto.
Fue detectado por primera vez por la CISA en 2021, distribuido junto a Conti, un ransomware que opera como RaaS (Ransomware as a Service). Los desarrolladores ofrecen el ransomware en un foro para captar afiliados, siendo estos últimos quienes distribuyen el malware a cambio de un porcentaje de las ganancias resultantes de los rescates.
Después de la CISA, Microsoft alertó de que los operadores de ZLoader estaban comprando anuncios de keywords de Google para distribuir el malware, es decir, ya no infecta a sus víctimas solo a partir del correo electrónico, aunque este sea su principal vehículo de propagación. Metidos en 2022, la división de Inteligencia de Amenazas de Check Point Software Technologies publica un informe sobre ZLoader donde destaca que se ha cobrado más de 2.000 víctimas en 111 países distintos.
Cómo funciona
Ante esta situación, lo mejor es conocer al máximo ZLoader para saber cómo actúa con el fin de establecer un protocolo de seguridad. Su procedimiento suele ser el siguiente:
- La infección comienza con una instalación de un programa de gestión remota que aparenta ser una instalación Java legítima.
- Con esta instalación, el ciberdelincuente accede al sistema por completo, pudiendo subir o descargar archivos, como ejecutar scripts.
- Ejecuta los scripts que, a su vez, descargan más scripts y que ejecutan el archivo mshta.exe junto con appContast.dll.
- AppContast es “el caballo de Troya” porque está firmado por Microsoft, pero si os fijáis en su contenido se han añadido más datos al final de este archivo.
- Finalmente, la información añadida descarga y ejecuta la parte final de ZLoader, terminando por robar las credenciales de los usuarios junto con cualquier información privada que cause vulnerabilidad en las víctimas.
Cómo evitar la infección de ZLoader en nuestro sistema
Como sucede con cualquier ataque de ransomware, siempre es mejor prevenir que curar porque si se produce la infección, el daño puede ser irreversible. Hay cuatro consejos esenciales que mantendrán a salvo vuestros ordenadores personales o vuestra red empresarial y es que, tratándose de un troyano bancario, hay que extremar la seguridad.
No debemos instalar programas procedentes de fuentes o webs desconocidas. Fijándonos en el proceso de infección de ZLoader, todo comienza por instalar una aplicación Java falsa e infectada: es aquí cuando los cibercriminales toman el control.
Mantén los sistemas actualizados. El segundo paso es instalar la actualización de Microsoft para la verificación estricta de Authenticode, ya que no se aplica por defecto y es esencial para evitar que appContast.dll pase desapercibido. Este archivo es otra de las claves por las que ZLoader se aplica con éxito, por lo que es muy importante estar al día en las actualizaciones de Microsoft.
Usa un software antimalware y cambia tus contraseñas de forma regular. Es muy aconsejable tener un antimalware en nuestro correo electrónico para detectar aquellas amenazas que surjan por esta vía. También se recomienda cambiar contraseñas de forma regular.
Por último, hacemos hincapié en que no hay que abrir enlaces, ni archivos adjuntos que recibamos por correo sin saber por qué nos lo envían y quién nos lo envía. Nunca abráis archivos que no sabéis qué son, ni de dónde provienen porque hay un alto porcentaje de posibilidades de que infecten vuestro PC o el sistema de la nube.
En Arsys disponemos de diversas soluciones de seguridad gestionada para que tu negocio mantenga su confidencialidad a raya: sin fugas, ni vulnerabilidades que te conviertan en una víctima.