Cybersecurity -onderzoekers hebben details bekendgemaakt van een nieuwe malware -familie nagesynchroniseerd Yibackdoor Dat is gebleken om “significante” broncode overlapt met IcedID en LatRodectus.
“De exacte verbinding met Yibackdoor is nog niet duidelijk, maar het kan worden gebruikt in combinatie met LatRodectus en Icedid tijdens aanvallen,” zei ZScaler ThreatLabz in een dinsdagrapport. “Yibackdoor is in staat om willekeurige opdrachten uit te voeren, systeeminformatie te verzamelen, screenshots vast te leggen en plug -ins te implementeren die de functionaliteit van de malware dynamisch uitbreiden.”
Het Cybersecurity Company zei dat het voor het eerst de malware in juni 2025 identificeerde, en voegde eraan toe dat het kan dienen als een voorloper van follow-on exploitatie, zoals het faciliteren van de initiële toegang voor ransomware-aanvallen. Tot op heden zijn slechts beperkte implementaties van Yibackdoor gedetecteerd, wat aangeeft dat het momenteel in ontwikkeling is of wordt getest.
Gezien de overeenkomsten tussen Yibackdoor, Icedid en LatroDectus, wordt het met een gemiddeld tot hoog vertrouwen beoordeeld dat de nieuwe malware het werk is van dezelfde ontwikkelaars die achter de andere twee laders zitten. Het is ook vermeldenswaard dat LatroDectus op zichzelf wordt beschouwd als een opvolger van Icedid.
Yibackdoor beschikt over rudimentaire anti-analysetechnieken om gevirtualiseerde en sandbox-omgevingen te ontwijken, terwijl mogelijk mogelijkheden worden opgenomen om de kernfunctionaliteit in het proces “svchost.exe” te injecteren. Persistentie op de host wordt bereikt met behulp van de Windows Run -registersleutel.
“Yibackdoor kopieert eerst zichzelf (de Malware DLL) in een nieuw gemaakte map onder een willekeurige naam,” zei het bedrijf. “Vervolgens voegt YiBackdoor RegSvr32.exe Malicious_Path toe aan de naam van de registerwaarde (afgeleid met behulp van een pseudo-Random-algoritme) en zelf-delyes om forensische analyse te belemmeren.”
Een ingebedde gecodeerde configuratie in de malware wordt gebruikt om de opdracht-en-control (C2) -server te extraheren, waarna het een verbinding tot stand brengt om opdrachten te ontvangen in HTTP-antwoorden-
- SystemInfoom systeemmetadata te verzamelen
- schermom een screenshot te maken
- CMDom een opdracht System Shell uit te voeren met CMD.EXE
- PWSom een System Shell -opdracht uit te voeren met behulp van PowerShell
- plug -inom een opdracht door te geven aan een bestaande plug -in en de resultaten terug te verzenden naar de server
- taakom een nieuwe plug-in te initialiseren en uit te voeren die Base64-gecodeerd en gecodeerd is
ZSCALER’s analyse van Yibackdoor heeft een aantal codeoverlappingen ontdekt tussen Yibackdoor, IcedID en LatRodectus, inclusief de code -injectiemethode, het formaat en de lengte van de configuratiedecryption -sleutel en de decoderingsroutines voor de configuratieblob en de plug -ins.
“Yibackdoor heeft standaard een enigszins beperkte functionaliteit, maar bedreigingsactoren kunnen extra plug -ins inzetten die de mogelijkheden van de malware uitbreiden,” zei ZScaler. “Gezien de beperkte inzet tot nu toe, is het waarschijnlijk dat dreigingsactoren Yibackdoor nog steeds ontwikkelen of testen.”
Nieuwe versies van Zloader gespot
De ontwikkeling komt als het cybersecuritybedrijf twee nieuwe versies van ZLoader (aka deloader, Terdot of Silent Night) onderzocht-2.11.6.0 en 2.13.7.0-die verdere verbeteringen omvatten in de codeverdrijf, netwerkcommunicatie, anti-analysetechnieken en evasioneren.
Opvallend onder de wijzigingen zijn op LDAP gebaseerde netwerkontdekkingsopdrachten die kunnen worden gebruikt voor netwerkontdekking en laterale beweging, evenals een verbeterd op DNS gebaseerd netwerkprotocol dat aangepaste codering gebruikt met de optie om websockets te gebruiken.
Er wordt gezegd dat aanvallen die de malware -lader distribueren nauwkeuriger en doelgerichter zijn, die alleen worden ingezet tegen een klein aantal entiteiten in plaats van op een willekeurige manier.
“Zloader 2.13.7.0 bevat verbeteringen en updates van het aangepaste DNS-tunnelprotocol voor command-and-control (C2) -communicatie, samen met extra ondersteuning voor websockets,” zei ZScaler. “Zloader blijft zijn anti-analyse-strategieën ontwikkelen en gebruikmaken van innovatieve methoden om detectie te ontwijken.”
