Les utilisateurs qui recherchent le logiciel de bureau à distance TeamViewer sur des moteurs de recherche comme Google sont redirigés vers des liens malveillants qui télécharge le logiciel malveillant ZLoader sur leurs systèmes.

Découvert pour la première fois en 2016, ZLoader (alias Silent Night et ZBot) est un cheval de Troie bancaire complet et un dérivé d'un autre malware bancaire appelé ZeuS. Les versions plus récentes mettent en œuvre un module VNC qui accorde aux adversaires un accès distant aux systèmes des victimes, en adoptant une chaîne d'infection plus furtive qui leurs permet de s'attarder sur les appareils infectés et d'échapper à la détection par les solutions de sécurité.

Dans cette campagne, les chercheurs de SentinelOne qui ont decouvert le malware ont dit dans leurs rapport que les attaquants utilisent une méthode indirecte pour compromettre les victimes au lieu d'utiliser l'approche classique consistant à compromettre les victimes directement, par exemple par hameçonnage, le malware est téléchargé à partir d'une publicité Google publiée via Google Adwords.

La chaîne d'infection commence lorsqu'un utilisateur clique sur une publicité affichée par Google sur la page de résultats de recherche. Il est, par la suite, redirigé vers le faux site TeamViewer sous le contrôle de l'attaquant, incitant ainsi la victime à télécharger une variante malveillante mais signée du logiciel ("Team-Viewer.msi"). Le faux installateur déclenche une série d'actions qui impliquent le téléchargement de droppers pour l’étape suivante visant à altérer les défenses de la machine et enfin le téléchargement de la charge utile DLL ZLoader ("tim.dll").

Le laboratoire de cybersécurité a déclaré avoir trouvé d'autres artefacts imitant des applications populaires telles que Discord et Zoom, ce qui suggère que les attaquants avaient plusieurs campagnes en cours au-delà de l'utilisation de TeamViewer.