在谷歌等搜索引擎上搜索TeamViewer远程桌面软件的用户将被重定向到恶意链接，这些链接将ZLoader恶意软件投放到他们的系统中，同时还包含一个更隐蔽的感染链，该链允许它在受感染的设备上逗留，并逃避安全解决方案的检测。

SentinelOne的研究人员在周一发布的一份报告中说：“该恶意软件是从谷歌广告词中下载的”。“在这场活动中，攻击者使用间接的方式来危害受害者，而不是使用传统的直接危害受害者的方式，例如通过网络钓鱼”。

ZLoader（又名Silent Night和ZBot）于2016年首次被发现，它是一种功能齐全的银行特洛伊木马，是另一种称为ZeuS的银行恶意软件的分支，较新版本实现了一个VNC模块，允许对手远程访问受害系统。该恶意软件正在积极开发中，近年来犯罪分子催生了一系列变体，2011年宙斯源代码泄漏也同样助长了这一趋势。

据信，最新一波攻击的目标是澳大利亚和德国金融机构的用户，其主要目标是拦截用户对银行门户网站的web请求并窃取银行凭证。但该活动也值得注意，因为它采取了一些措施来保持低调，包括运行一系列命令，通过禁用Windows Defender来隐藏恶意活动。

当用户点击谷歌在搜索结果页面上显示的广告时，感染链就开始了，并在攻击者的控制下被重定向到假冒的TeamViewer网站，从而诱使受害者下载该软件的恶意但签名的变体（“Team Viewer.msi”）。假安装程序充当第一级拖放器，以触发一系列操作，包括下载下一级拖放器，以削弱机器的防御能力，并最终下载ZLoader DLL有效负载（“tim.DLL”）。

SentinelOne高级威胁情报研究员Antonio Pirozzi说：“首先，它通过PowerShell cmdlet Set-MpPreference禁用所有Windows Defender模块。”。然后，它使用cmdlet Add-MpPreference添加排除项，例如regsvr32、*.exe、*.dll，以对Windows Defender隐藏恶意软件的所有组件。

这家网络安全公司表示，他们发现了其他模仿Discord和Zoom等流行应用程序的人工制品，这表明攻击者除了利用TeamViewer之外，还有多个活动正在进行。

Pirozzi解释说：“本研究中分析的攻击链表明，为了达到更高的隐蔽性，攻击的复杂性是如何增长的，它使用了一种替代传统的方法，即通过网络钓鱼电子邮件危害受害者。”。“用于安装第一阶段滴管的技术已从对受害者进行社会工程改为打开恶意文档，再改为使用提供秘密签名MSI有效负载的链接毒害用户的web搜索。”

参考链接：https://thehackernews.com/2021/09/new-stealthier-zloader-variant.html