ZLoader Malware evolueert met anti-analysetruc van Zeus Banking Trojan

De auteurs achter het verhaal zijn weer opgedoken ZLoader malware heeft een functie toegevoegd die oorspronkelijk aanwezig was in de Zeus-banktrojan waarop deze is gebaseerd, wat aangeeft dat deze actief wordt ontwikkeld.

“De nieuwste versie, 2.4.1.0, introduceert een functie om uitvoering te voorkomen op machines die verschillen van de oorspronkelijke infectie”, zei Zscaler ThreatLabz-onderzoeker Santiago Vicente in een technisch rapport. “Een soortgelijke anti-analysefunctie was aanwezig in de gelekte Zeus 2.X-broncode, maar anders geïmplementeerd.”

ZLoader, ook wel Terdot, DELoader of Silent Night genoemd, ontstond na een onderbreking van bijna twee jaar rond september 2023 na de verwijdering ervan begin 2022.

Een modulaire trojan met mogelijkheden om payloads in de volgende fase te laden. Recente versies van de malware hebben RSA-codering toegevoegd, evenals updates voor het algoritme voor het genereren van domeinen (DGA).

Cyberbeveiliging

Het nieuwste teken van de evolutie van ZLoader komt in de vorm van een anti-analysefunctie die de uitvoering van het binaire bestand beperkt tot de geïnfecteerde machine.

Deze functie, aanwezig in artefacten met versies hoger dan 2.4.1.0, zorgt ervoor dat de malware abrupt wordt beëindigd als deze na de initiële infectie wordt gekopieerd en uitgevoerd op een ander systeem. Dit wordt bereikt door middel van een Windows-registercontrole op een specifieke sleutel en waarde.

“De registersleutel en -waarde worden gegenereerd op basis van een hardgecodeerd zaad dat voor elk monster anders is”, aldus Vicente.

“Als het registersleutel/waarde-paar handmatig wordt aangemaakt (of deze controle wordt gepatcht), zal ZLoader zichzelf met succes in een nieuw proces injecteren. Het wordt echter weer beëindigd na het uitvoeren van slechts een paar instructies. Dit komt door een secundaire check-in ZLoader's MZ-header.”

Dit betekent dat de uitvoering van ZLoader op een andere machine zal worden gestopt, tenzij de waarden van de Seed- en MZ-header correct zijn ingesteld en alle register- en schijfpaden/-namen van het oorspronkelijk gecompromitteerde systeem zijn gerepliceerd.

Zscaler zei dat de techniek die Zloader gebruikt om de installatie-informatie op te slaan en te voorkomen dat deze op een andere host wordt uitgevoerd overeenkomsten vertoont met Zeus versie 2.0.8, zij het op een andere manier geïmplementeerd, die afhankelijk was van een datastructuur genaamd PeSettings om de configuratie op te slaan in plaats van het Register.

“In recente versies heeft ZLoader een heimelijke benadering van systeeminfecties gevolgd”, aldus Vicente. “Deze nieuwe anti-analysetechniek maakt ZLoader nog uitdagender om te detecteren en analyseren.”

Deze ontwikkeling komt doordat bedreigingsactoren frauduleuze websites gebruiken die worden gehost op populaire legitieme platforms zoals Weebly om stealer-malware te verspreiden en gegevens te stelen via black hat-zoekmachineoptimalisatie (SEO)-technieken.

Cyberbeveiliging

“Dit katapulteert hun frauduleuze site naar de top van de zoekresultaten van een gebruiker, waardoor de kans groter wordt dat ze per ongeluk een kwaadaardige site selecteren en mogelijk hun systeem met malware infecteren”, aldus Zscaler-onderzoeker Kaivalya Khursale.

Een opmerkelijk aspect van deze campagnes is dat de infectie alleen doorgaat naar de fase van levering van de payload als het bezoek afkomstig is van zoekmachines zoals Google, Bing, DuckDuckGo, Yahoo of AOL, en als de nepsites niet rechtstreeks worden bezocht.

De afgelopen twee maanden zijn er ook op e-mail gebaseerde phishing-campagnes waargenomen die zich richtten op organisaties in de VS, Turkije, Mauritius, Israël, Rusland en Kroatië met Taskun-malware, die fungeert als facilitator voor Agent Tesla, zo blijkt uit bevindingen van Veriti.

Thijs Van der Does