Desde Microsoft se ha detectado que el malware Zloader cambió su método de distribución. Este malware ya no depende de la entrega de correos electrónicos maliciosos, sino que ahora utiliza anuncios de Google. De esta manera, el malware cuenta con la posibilidad de llegar a un público más amplio.
Las amenazas que recorren la web se encuentran en constante evolución tanto en la parte de su funcionamiento como de su distribución. Este “troyano” bancario, como se ha calificado a Zloader, busca el robo de información sensible como tus datos personales y contraseñas.
Malware buscando acceso
SentinelLabs analizó nuevos ataques realizados con Zloader y llegó a la conclusión de que este software puede ser usado como un vehículo para llevar adelante la distribución de otros tipos de malware, al punto de ser señalado como una posible “puerta trasera”. Por ejemplo, esto podría significar que un atacante podría usar Zloader como un medio para ganar acceso a los equipos de las víctimas e instalar un ransomware.
La amenaza es muy seria al poder llegar a millones de personas con suma facilidad. SentinelLabs publicó un informe con una completa explicación del método que usan los atacantes, que es sumamente complejo y altamente efectivo. Parte del ataque consiste en la desactivación de Microsoft Defender, el antivirus que trae Windows 10.
Los anuncios de Google para alcanzar las víctimas
Los distribuidores de estos programas “espía” compran anuncios que se vinculan a determinadas palabras claves de Google Ads, como “Team Viewer Download” o “Zoom Download”. Cuando aparece el aviso publicitario en la página de resultados de Google, estos avisos no redirigen a la víctima a la página de Zoom o de Microsoft, sino a un sitio web web que simula ser el sitio web real de estas empresas.
La peculiaridad es que los instaladores de software maliciosos consiguen ser aparentemente genuinos. Especialistas de SentinelLabs indican que los atacantes lograron obtener certificados de seguridad de una empresa que fue registrada durante junio de 2021 en Canadá. Los investigadores observan que es posible que la empresa haya sido registrada por los mismos atacantes.