Bedreigingsjagers hebben een nieuwe campagne geïdentificeerd die de ZLoader malware, die bijna twee jaar nadat de infrastructuur van het botnet in april 2022 werd ontmanteld, weer boven water komt.
Een nieuwe variant van de malware zou sinds september 2023 in ontwikkeling zijn, aldus Zscaler ThreatLabz in een analyse die deze maand werd gepubliceerd.
“De nieuwe versie van Zloader heeft aanzienlijke wijzigingen aangebracht in de loadermodule, die RSA-codering heeft toegevoegd, het algoritme voor het genereren van domeinen heeft bijgewerkt en nu voor het eerst is gecompileerd voor 64-bit Windows-besturingssystemen”, aldus onderzoekers Santiago Vicente en Ismael Garcia Perez. .
ZLoader, ook bekend onder de namen Terdot, DELoader of Silent Night, is een uitloper van de Zeus-banktrojan die voor het eerst opdook in 2015, voordat hij ging functioneren als een lader voor de volgende fase van payloads, waaronder ransomware.
Normaal gesproken verspreid via phishing-e-mails en kwaadaardige zoekmachineadvertenties, kreeg ZLoader een enorme klap te verwerken nadat een groep bedrijven onder leiding van de Digital Crimes Unit (DCU) van Microsoft de controle over 65 domeinen had overgenomen die werden gebruikt om de geïnfecteerde hosts te controleren en ermee te communiceren.
De nieuwste versies van de malware, bijgehouden als 2.1.6.0 en 2.1.7.0, bevatten ongewenste code en verduistering van tekenreeksen om analyse-inspanningen te weerstaan. Van elk ZLoader-artefact wordt ook verwacht dat het een specifieke bestandsnaam heeft, zodat het op de gecompromitteerde host kan worden uitgevoerd.
“Dit zou malware-sandboxen kunnen omzeilen die de naam van voorbeeldbestanden wijzigen”, merkten de onderzoekers op.
Naast het versleutelen van de statische configuratie met behulp van RC4 met een hardgecodeerde alfanumerieke sleutel om informatie met betrekking tot de campagnenaam en de command-and-control (C2)-servers te verbergen, is waargenomen dat de malware vertrouwt op een bijgewerkte versie van de domeingeneratie algoritme als noodmaatregel voor het geval de primaire C2-servers niet toegankelijk zijn.
De back-upcommunicatiemethode werd voor het eerst ontdekt in ZLoader versie 1.1.22.0, die werd verspreid als onderdeel van phishingcampagnes die in maart 2020 werden gedetecteerd.
“Zloader was jarenlang een grote bedreiging en de comeback ervan zal waarschijnlijk resulteren in nieuwe ransomware-aanvallen”, aldus de onderzoekers. “De operationele takedown stopte tijdelijk de activiteit, maar niet de dreigingsgroep erachter.”
De ontwikkeling komt op het moment dat Red Canary waarschuwde voor een toename van het aantal campagnes waarbij gebruik wordt gemaakt van MSIX-bestanden om malware zoals NetSupport RAT, ZLoader en FakeBat (ook bekend als EugenLoader) te leveren sinds juli 2023, wat Microsoft ertoe aanzette de protocolhandler eind 2023 standaard uit te schakelen. december 2023.
Het volgt ook op de opkomst van nieuwe stealer-malwarefamilies zoals Rage Stealer en Monster Stealer, die worden gebruikt als een eerste toegangspad voor informatiediefstal en als lanceerplatform voor ernstigere cyberaanvallen.
