Злоумышленники также изменили вектор распространения вредоносных программ со спама или фишинговых писем на рекламу TeamViewer с помощью Google Adwords, перенаправляя жертв на вредоносные сайты. Жертв обманом заставляют загружать подписанные вредоносные установщики MSI, предназначенные для установки вредоносных программ Zloader.
По словам исследователей в области кибербезопасности из SentinelLabs, для достижения более высокого уровня скрытности злоумышленники заменили загрузчик первого этапа с классического вредоносного документа на скрытую подписанную полезную нагрузку MSI. Она использует вредоносные бинарные файлы и ряд LOLBAS-файлов с целью ослабить защиту и проксировать выполнение своих полезных нагрузок.
Как сообщили эксперты, текущая кампания в первую очередь нацелена на клиентов немецких и австралийских банковских учреждений.
Zloader (также известный как Terdot и DELoader) — банковский троян, обнаруженный в августе 2015 года. Вредонос использовался для атаки на клиентов нескольких британских финансовых объектов. Подобно Zeus Panda и Floki Bot, вредоносная программа почти полностью основана на исходном коде трояна Zeus v2, который утек в Сеть более десяти лет назад.