Охотники за угрозами выявили новую кампанию, распространяющую вредоносное ПО ZLoader, появившуюся почти через два года после демонтажа инфраструктуры ботнета в апреле 2022 года.
Говорят, что новый вариант вредоносного ПО находится в разработке с сентября 2023 года, говорится в анализе Zscaler ThreatLabZ, опубликованном в этом месяце.
"Новая версия Zloader внесла существенные изменения в модуль loader, который добавил шифрование RSA, обновил алгоритм генерации домена и теперь впервые компилируется для 64-разрядных операционных систем Windows", - сказали исследователи Сантьяго Висенте и Исмаэль Гарсия Перес.
ZLoader, также известный под названиями Terdot, DELoader или Silent Night, является ответвлением банковского трояна Zeus, который впервые появился в 2015 году, а затем стал использоваться в качестве загрузчика полезных программ следующего этапа, включая программы-вымогатели.
Обычно распространяемый через фишинговые электронные письма и вредоносную рекламу в поисковых системах, ZLoader получил серьезный удар после того, как группа компаний во главе с подразделением Microsoft по борьбе с цифровыми преступлениями (DCU) захватила контроль над 65 доменами, которые использовались для контроля зараженных хостов и связи с ними.
Последние версии вредоносного ПО, отслеживаемые как 2.1.6.0 и 2.1.7.0, содержат нежелательный код и запутывание строк, что затрудняет анализ. Ожидается также, что каждый артефакт ZLoader будет иметь определенное имя файла, чтобы он мог быть выполнен на скомпрометированном хосте.
"Это может обойти "песочницы" вредоносных программ, которые переименовывают образцы файлов", - отметили исследователи.
В дополнение к шифрованию статической конфигурации с использованием RC4 с жестко закодированным буквенно-цифровым ключом для сокрытия информации, связанной с названием кампании и серверами командования и контроля (C2), было обнаружено вредоносное ПО, использующее обновленную версию алгоритма генерации домена в качестве запасной меры на случай, если основные серверы C2 будут недоступны.
Метод резервного копирования данных был впервые обнаружен в ZLoader версии 1.1.22.0, который распространялся в рамках фишинговых кампаний, обнаруженных в марте 2020 года.
"Zloader был серьезной угрозой в течение многих лет, и его возвращение, вероятно, приведет к новым атакам программ-вымогателей", - сказали исследователи. "Оперативная ликвидация временно остановила деятельность, но не угрожающую группу, стоящую за ней".
Разработка началась после того, как Red Canary предупредила об увеличении объема кампаний с использованием файлов MSIX для доставки вредоносных программ, таких как NetSupport RAT, ZLoader и FakeBat (он же EugenLoader), с июля 2023 года, что побудило Microsoft отключить обработчик протокола по умолчанию в конце декабря 2023 года.
Это также следует за появлением новых семейств вредоносных программ stealer, таких как Rage Stealer и Monster Stealer, которые используются в качестве начального пути доступа для кражи информации и стартовой площадки для более серьезных кибератак.
Говорят, что новый вариант вредоносного ПО находится в разработке с сентября 2023 года, говорится в анализе Zscaler ThreatLabZ, опубликованном в этом месяце.
"Новая версия Zloader внесла существенные изменения в модуль loader, который добавил шифрование RSA, обновил алгоритм генерации домена и теперь впервые компилируется для 64-разрядных операционных систем Windows", - сказали исследователи Сантьяго Висенте и Исмаэль Гарсия Перес.
ZLoader, также известный под названиями Terdot, DELoader или Silent Night, является ответвлением банковского трояна Zeus, который впервые появился в 2015 году, а затем стал использоваться в качестве загрузчика полезных программ следующего этапа, включая программы-вымогатели.
Обычно распространяемый через фишинговые электронные письма и вредоносную рекламу в поисковых системах, ZLoader получил серьезный удар после того, как группа компаний во главе с подразделением Microsoft по борьбе с цифровыми преступлениями (DCU) захватила контроль над 65 доменами, которые использовались для контроля зараженных хостов и связи с ними.
Последние версии вредоносного ПО, отслеживаемые как 2.1.6.0 и 2.1.7.0, содержат нежелательный код и запутывание строк, что затрудняет анализ. Ожидается также, что каждый артефакт ZLoader будет иметь определенное имя файла, чтобы он мог быть выполнен на скомпрометированном хосте.
"Это может обойти "песочницы" вредоносных программ, которые переименовывают образцы файлов", - отметили исследователи.
В дополнение к шифрованию статической конфигурации с использованием RC4 с жестко закодированным буквенно-цифровым ключом для сокрытия информации, связанной с названием кампании и серверами командования и контроля (C2), было обнаружено вредоносное ПО, использующее обновленную версию алгоритма генерации домена в качестве запасной меры на случай, если основные серверы C2 будут недоступны.
Метод резервного копирования данных был впервые обнаружен в ZLoader версии 1.1.22.0, который распространялся в рамках фишинговых кампаний, обнаруженных в марте 2020 года.
"Zloader был серьезной угрозой в течение многих лет, и его возвращение, вероятно, приведет к новым атакам программ-вымогателей", - сказали исследователи. "Оперативная ликвидация временно остановила деятельность, но не угрожающую группу, стоящую за ней".
Разработка началась после того, как Red Canary предупредила об увеличении объема кампаний с использованием файлов MSIX для доставки вредоносных программ, таких как NetSupport RAT, ZLoader и FakeBat (он же EugenLoader), с июля 2023 года, что побудило Microsoft отключить обработчик протокола по умолчанию в конце декабря 2023 года.
Это также следует за появлением новых семейств вредоносных программ stealer, таких как Rage Stealer и Monster Stealer, которые используются в качестве начального пути доступа для кражи информации и стартовой площадки для более серьезных кибератак.
