Cybersecurity-onderzoekers hebben een nieuwe versie van het programma ontdekt ZLoader malware die gebruik maakt van een Domain Name System (DNS)-tunnel voor command-and-control (C2)-communicatie, wat aangeeft dat de bedreigingsactoren de tool blijven verfijnen nadat deze een jaar geleden weer opdook.
“Zloader 2.9.4.0 voegt opmerkelijke verbeteringen toe, waaronder een aangepast DNS-tunnelprotocol voor C2-communicatie en een interactieve shell die meer dan een dozijn commando’s ondersteunt, wat waardevol kan zijn voor ransomware-aanvallen”, aldus Zscaler ThreatLabz in een rapport van dinsdag. “Deze aanpassingen bieden extra lagen van veerkracht tegen detectie en mitigatie.”
ZLoader, ook wel Terdot, DELoader of Silent Night genoemd, is een malware-lader die is uitgerust met de mogelijkheid om payloads in de volgende fase te implementeren. Malwarecampagnes die de malware verspreidden, werden in september 2023 voor het eerst in bijna twee jaar waargenomen nadat de infrastructuur was verwijderd.
Naast het incorporeren van verschillende technieken om analyse-inspanningen te weerstaan, is gebleken dat de malware gebruik maakt van een domeingeneratie-algoritme (DGA) en stappen onderneemt om te voorkomen dat deze wordt uitgevoerd op hosts die verschillen van de oorspronkelijke infectie, een techniek die ook werd opgemerkt in de Zeus banktrojan waarop het is gebaseerd.
De afgelopen maanden is de verspreiding van ZLoader steeds vaker in verband gebracht met Black Basta-ransomwareaanvallen, waarbij bedreigingsactoren de malware inzetten via externe desktopverbindingen die tot stand zijn gebracht onder het mom van het oplossen van een technisch ondersteuningsprobleem.
Het cyberbeveiligingsbedrijf zei dat het een extra component in de aanvalsketen heeft ontdekt die eerst de inzet van een payload met de naam GhostSocks omvat, die vervolgens wordt gebruikt om ZLoader te laten vallen.
“De anti-analysetechnieken van Zloader, zoals omgevingscontroles en API-importresolutie-algoritmen, worden voortdurend bijgewerkt om malware-sandboxes en statische handtekeningen te omzeilen”, aldus Zscaler.
Een nieuwe functie die in de nieuwste versie van de malware is geïntroduceerd, is een interactieve shell waarmee de operator willekeurige binaire bestanden, DLL’s en shellcode kan uitvoeren, gegevens kan exfiltreren en processen kan beëindigen.
Hoewel Zloader HTTPS met POST-verzoeken blijft gebruiken als het primaire C2-communicatiekanaal, wordt het ook geleverd met een DNS-tunnelingfunctie om gecodeerd TLS-netwerkverkeer met behulp van DNS-pakketten te vergemakkelijken.
“De distributiemethoden van Zloader en een nieuw communicatiekanaal met DNS-tunneling suggereren dat de groep zich steeds meer richt op het omzeilen van detectie”, aldus het bedrijf. “De bedreigingsgroep blijft nieuwe functies en functionaliteit toevoegen om effectiever te kunnen dienen als initiële toegangsmakelaar voor ransomware.”