金融木马ZLoader攻击德国、澳洲银行机构，停用Windows内建防毒以规避侦测

过往攻击者散布金融木马的管道，多半是利用内有恶意宏的Office档案，作为钓鱼邮件进行攻击。但今年出现了较为复杂的新手法，例如，在金融木马ZLoader（也称为Terdot）近期的新攻击行动中，骇客透过合法的MSI档案来散布，并具备停用Windows内建防毒软件的模组。

ZLoader是典型的金融木马，最早约在2016年出现，是由另一款恶名昭彰的木马程式Zeus发展而来，原本主要是透过网页注入（Web Injection）的方式，来窃取Cookies、密码，以及上网用户的敏感资讯，攻击目标是全球各地金融机构的使用者，骇客也运用ZLoader来传送Egregor、Ryuk等勒索软件，或是其他的恶意软件。但如今，攻击者执行ZLoader的方式，比起以往更加复杂。

以Google关键字广告来引诱受害者上钩

例如，资安业者SentinelOne于9月13日，揭露最近一波ZLoader的攻击行动细节。攻击者先是透过投放Google广告，锁定使用“Team viewer download”作为关键字的用户，一旦使用者点选了攻击者购买的广告，就会被引导到冒牌TeamViewer的网站，下载MSI安装档案，但实际上，若是使用者执行这个档案，将会在受害电脑植入ZLoader。

值得留意的是，有别于许多冒名TeamViewer的恶意程式，这次攻击者提供的档案具有合法签章。SentinelOne指出，该恶意程式凭证署名的时间为今年的8月23日，是由加拿大布兰普顿软件公司Flyintellect Inc签署，但这家公司甫于6月29日登记成立，研究人员推测，该公司很可能是攻击者为了合法凭证所设立。

除了假冒TeamViewer的安装程式（Team-Viewer.msi），研究人员发现，攻击者还利用上述的合法凭证，签署冒牌的Java插件（JavaPlug-in.msi）、Zoom（Zoom.msi），以及Discord（discord.msi）等安装软件。SentinelOne指出，他们在发布此次事故的分析结果之际，这4个冒牌安装程式皆无法透过VirusTotal识别为有害。

运用电脑操作系统内建工具侧载恶意程式

在使用者不疑有他执行这些冒牌安装程式之后，它们会先随机产生一些合法的档案，再透过PowerShell取得更新用的指令码（Script），接着停用Microsoft Defender所有模组，并将regsvr32、EXE可执行档案、DLL程式库设置为例外，以便后续恶意程式的元件不会被拦截。

最终攻击者才会下载名为tim.exe的档案，并透过档案总管（explorer.exe），以就地取材（Living Off The Land Binaries and Scripts，LOLBAS）的方式侧载执行，这么做的目的，是要让端点侦测与回应系统（EDR）难以串连子母处理程序之间的关连。而这个tim.exe接着会产生恶意指令码tim.bat，下载ZLoader的酬载DLL档案（tim.dll）。当然，执行ZLoader的方式也是透过就地取材，由regsvr32侧载来运作。

什么是“就地取材（Living Off The Land）”？简单来说就是利用受害电脑所具备的现成工具，来挟带恶意软件，或是执行侦察、下载恶意软件等工作。而这样的手法，后来有资安研究人员以使用的工具型态来进行区分，其中同时运用可执行程式（Binary）和指令码（Script），或者是可执行程式与程式库（Library）的情况，被称为LOLBAS。以上述的攻击过程里，档案总管、regsvr32都是攻击者就地取材所运用的内建软件。

而针对ZLoader的攻击目标，在SentinelOne连一步分析后，发现了该恶意酬载嵌入澳洲与德国网域列表，且针对银行机构而来。至于上述攻击工具档案名称的“Tim”，SentinelOne认为是攻击者所使用的僵尸网络名称，该公司指出，这个僵尸网络是由超过350个C2中继站所组成。