Авторы обновленного вредоносного ПО ZLoader добавили функцию, которая изначально присутствовала в Zeus banking trojan, на которой оно основано, что указывает на его активную разработку.
"В последней версии 2.4.1.0 добавлена функция предотвращения выполнения на машинах, отличных от исходного заражения", - сказал в техническом отчете исследователь Zscaler ThreatLabZ Сантьяго Висенте. "Аналогичная функция антианализа присутствовала в просочившемся исходном коде ZeuS 2.X, но реализована по-другому".
ZLoader, также называемый Terdot, DELoader или Silent Night, появился после почти двухлетнего перерыва примерно в сентябре 2023 года после его удаления в начале 2022 года.
Модульный троянец с возможностями загрузки полезных данных следующего этапа, в последних версиях вредоносного ПО добавлено шифрование RSA, а также обновления алгоритма генерации домена (DGA).
Последним признаком эволюции ZLoader является функция защиты от анализа, которая ограничивает выполнение двоичного файла на зараженной машине.
Функция, присутствующая в артефактах с версиями выше 2.4.1.0, приводит к внезапному завершению работы вредоносного ПО, если оно скопировано и запущено в другой системе после первоначального заражения. Это достигается с помощью проверки реестра Windows на наличие определенного ключа и значения.
"Ключ реестра и значение генерируются на основе жестко закодированного начального значения, которое отличается для каждого образца", - сказал Висенте.
"Если пара ключ реестра / значение создана вручную (или эта проверка исправлена), ZLoader успешно внедрится в новый процесс. Однако он снова завершится после выполнения всего нескольких инструкций. Это связано с вторичной проверкой в заголовке MZ ZLoader."
Это означает, что выполнение ZLoader будет остановлено на другом компьютере, если значения заголовка seed и MZ не будут установлены правильно и все пути / имена реестра и дисков из первоначально скомпрометированной системы не будут реплицированы.
Zscaler сказал, что метод, используемый Zloader для хранения установочной информации и предотвращения запуска на другом хостинге, имеет сходство с ZeuS версии 2.0.8, хотя и реализован по-другому, в котором используется структура данных под названием PeSettings для хранения конфигурации вместо реестра.
"В последних версиях ZLoader применил скрытый подход к системным инфекциям", - сказал Висенте. "Этот новый метод антианализа делает обнаружение и анализ ZLoader еще более сложным".
Развитие происходит из-за того, что злоумышленники используют мошеннические веб-сайты, размещенные на популярных законных платформах, таких как Weebly, для распространения вредоносного ПО-краже данных с помощью методов поисковой оптимизации black hat (SEO).
"Это выводит их мошеннический сайт на первое место в результатах поиска пользователя, увеличивая вероятность случайного выбора вредоносного сайта и потенциального заражения их системы вредоносным ПО", - сказала исследователь Zscaler Кайвалья Хурсале.
Примечательным аспектом этих кампаний является то, что заражение переходит на стадию доставки полезной нагрузки только в том случае, если посещение происходит из поисковых систем, таких как Google, Bing, DuckDuckGo, Yahoo или AOL, и если к поддельным сайтам нет прямого доступа.
За последние два месяца также были замечены фишинговые кампании по электронной почте, нацеленные на организации в США, Турции, Маврикии, Израиле, России и Хорватии с помощью вредоносного ПО Taskun, которое действует как посредник для агента Tesla, согласно выводам Veriti.
"В последней версии 2.4.1.0 добавлена функция предотвращения выполнения на машинах, отличных от исходного заражения", - сказал в техническом отчете исследователь Zscaler ThreatLabZ Сантьяго Висенте. "Аналогичная функция антианализа присутствовала в просочившемся исходном коде ZeuS 2.X, но реализована по-другому".
ZLoader, также называемый Terdot, DELoader или Silent Night, появился после почти двухлетнего перерыва примерно в сентябре 2023 года после его удаления в начале 2022 года.
Модульный троянец с возможностями загрузки полезных данных следующего этапа, в последних версиях вредоносного ПО добавлено шифрование RSA, а также обновления алгоритма генерации домена (DGA).
Последним признаком эволюции ZLoader является функция защиты от анализа, которая ограничивает выполнение двоичного файла на зараженной машине.
Функция, присутствующая в артефактах с версиями выше 2.4.1.0, приводит к внезапному завершению работы вредоносного ПО, если оно скопировано и запущено в другой системе после первоначального заражения. Это достигается с помощью проверки реестра Windows на наличие определенного ключа и значения.
"Ключ реестра и значение генерируются на основе жестко закодированного начального значения, которое отличается для каждого образца", - сказал Висенте.
"Если пара ключ реестра / значение создана вручную (или эта проверка исправлена), ZLoader успешно внедрится в новый процесс. Однако он снова завершится после выполнения всего нескольких инструкций. Это связано с вторичной проверкой в заголовке MZ ZLoader."
Это означает, что выполнение ZLoader будет остановлено на другом компьютере, если значения заголовка seed и MZ не будут установлены правильно и все пути / имена реестра и дисков из первоначально скомпрометированной системы не будут реплицированы.
Zscaler сказал, что метод, используемый Zloader для хранения установочной информации и предотвращения запуска на другом хостинге, имеет сходство с ZeuS версии 2.0.8, хотя и реализован по-другому, в котором используется структура данных под названием PeSettings для хранения конфигурации вместо реестра.
"В последних версиях ZLoader применил скрытый подход к системным инфекциям", - сказал Висенте. "Этот новый метод антианализа делает обнаружение и анализ ZLoader еще более сложным".
Развитие происходит из-за того, что злоумышленники используют мошеннические веб-сайты, размещенные на популярных законных платформах, таких как Weebly, для распространения вредоносного ПО-краже данных с помощью методов поисковой оптимизации black hat (SEO).
"Это выводит их мошеннический сайт на первое место в результатах поиска пользователя, увеличивая вероятность случайного выбора вредоносного сайта и потенциального заражения их системы вредоносным ПО", - сказала исследователь Zscaler Кайвалья Хурсале.
Примечательным аспектом этих кампаний является то, что заражение переходит на стадию доставки полезной нагрузки только в том случае, если посещение происходит из поисковых систем, таких как Google, Bing, DuckDuckGo, Yahoo или AOL, и если к поддельным сайтам нет прямого доступа.
За последние два месяца также были замечены фишинговые кампании по электронной почте, нацеленные на организации в США, Турции, Маврикии, Израиле, России и Хорватии с помощью вредоносного ПО Taskun, которое действует как посредник для агента Tesla, согласно выводам Veriti.
