Cyberthreat.id - Zloader, malware perbankan yang meniru beberapa fungsi dari Zeus (seperti Versi, nrv2b, label binstorage), baru-baru ini  didistribusikan melalui operasi phishing bertema Covid-19.

Menurut penelusuran peneliti, malware ZLoader telah terdeteksi di lebih dari 100 operasi email sejak awal 2020. Trojan ini masih dalam pengembangan aktif dan sejauh ini telah terlihat dalam 25 versi sejak melakukan 'comeback' pada Desember 2019.

Pada bulan Mei 2020, sejumlah operasi malspam dari banyak hacker menggunakan file PDF yang tertaut ke dokumen Microsoft Word, yang dibubuhi kode makro, yang mengunduh dan menjalankan versi ZLoader. Distribusi ini berbeda dari varian asli yang diamati antara 2016 dan 2018.

Pada bulan April 2020, operasi email dideteksi menyebarkan lembar Excel yang dilindungi password dan pesan tentang anggota keluarga, kolega, atau tetangga yang menghubungi Covid-19 sambil mengklaim memberikan informasi di mana akan dilakukan tes Covid-19. Lembar Excel menggunakan makro Excel 4.0 untuk mengunduh dan menjalankan ZLoader versi 1.1.22.0.

Pada bulan Maret 2020, email penipuan memberikan iming-iming menggunakan berbagai subjek, termasuk tips pencegahan penipuan Covid-19, pengujian Covid-19, dan faktur yang digunakan untuk mendistribusikan malware perbankan ZLoader.

Scammers menggunakan kode malware Zeus yang bocor untuk mencuri data dari pelanggan perbankan di berbagai benua. Dengan kode ini, varian Zeus baru terus muncul. Ini menunjukkan efektivitas Zeus, karena varian-varian barunya masih dapat menimbulkan kerusakan.

Operasi di berbagai negara

Secara historis, operator di balik malware ZLoader menargetkan organisasi yang berbasis di Kanada, tetapi sejak Januari 2020, mereka telah melancarkan operasi untuk memikat pengguna di Amerika Serikat, Kanada, Jerman, Polandia, dan Australia terkait topik Covid-19.

Antara 2016 hingga 2017, malware ZLoader menyerang beberapa target keuangan Kanada melalui phishing dan email spam yang berpura-pura berasal dari Canada Revenue Agency (CRA) menggunakan kit eksploitasi Sundown.

Malware tersebut menggunakan fungsionalitas malware perbankan yang umum seperti web injection, pencurian password dan cookie, serta akses ke perangkat melalui VNC. Tujuannya untuk memanen data keuangan yang memanfaatkan social engineering guna meyakinkan pengguna yang terinfeksi agar membagikan kode auth, kredensial, dan informasi pribadi.

Pesan terpenting adalah pengguna tidak boleh membuka lampiran atau tautan web di dalam email yang mencurigakan. Biasanya tautan itu tidak relevan atau dari alamat yang tidak diketahui dan terkadang tidak masuk akal.

Pengguna harus menghindari mengunduh atau memperbarui perangkat lunak dari situs web pihak ketiga atau P2P. Pengguna harus menggunakan perangkat lunak anti-malware yang kuat dan melakukan pemindaian sistem lengkap. Sebagai bagian tindakan pencegahan menyeluruh, pengguna juga harus sering mengganti password untuk akun keuangan.