Tehdit avcıları, şunları sağlayan yeni bir kampanya belirledi: ZYükleyici Kötü amaçlı yazılım, botnet altyapısının Nisan 2022’de kaldırılmasından yaklaşık iki yıl sonra yeniden ortaya çıkıyor.
Zscaler ThreatLabz, bu ay yayınlanan bir analizde, kötü amaçlı yazılımın yeni bir versiyonunun Eylül 2023’ten bu yana geliştirilmekte olduğunun söylendiğini söyledi.
Araştırmacılar Santiago Vicente ve Ismael Garcia Perez, “Zloader’ın yeni sürümü, RSA şifrelemesini ekleyen, etki alanı oluşturma algoritmasını güncelleyen ve şimdi ilk kez 64 bit Windows işletim sistemleri için derlenen yükleyici modülünde önemli değişiklikler yaptı.” dedi. .
Terdot, DELoader veya Silent Night isimleriyle de bilinen ZLoader, fidye yazılımı da dahil olmak üzere sonraki aşamadaki yükler için yükleyici olarak işlev görmeden önce ilk kez 2015 yılında ortaya çıkan Zeus bankacılık trojanının bir yan ürünüdür.
Tipik olarak kimlik avı e-postaları ve kötü amaçlı arama motoru reklamları yoluyla dağıtılan ZLoader, Microsoft’un Dijital Suçlar Birimi (DCU) liderliğindeki bir grup şirketin, virüslü ana bilgisayarları kontrol etmek ve onlarla iletişim kurmak için kullanılan 65 alanın kontrolünü ele geçirmesinin ardından büyük bir darbe aldı.
Kötü amaçlı yazılımın 2.1.6.0 ve 2.1.7.0 olarak izlenen en son sürümleri, analiz çabalarına direnmek için önemsiz kod ve dize gizlemeyi içeriyor. Her ZLoader eserinin, ele geçirilen ana bilgisayarda çalıştırılabilmesi için belirli bir dosya adına sahip olması da beklenir.
Araştırmacılar, “Bu, örnek dosyaları yeniden adlandıran kötü amaçlı yazılım sanal alanlarından kaçabilir” dedi.
Kampanya adı ve komuta ve kontrol (C2) sunucularıyla ilgili bilgileri gizlemek için RC4 kullanarak statik yapılandırmayı sabit kodlu bir alfasayısal anahtarla şifrelemenin yanı sıra, kötü amaçlı yazılımın, etki alanı oluşturmanın güncellenmiş bir sürümüne dayandığı gözlemlendi. birincil C2 sunucularına erişilememesi durumunda geri dönüş önlemi olarak algoritma.
Yedek iletişim yöntemi ilk olarak Mart 2020’de tespit edilen kimlik avı kampanyalarının bir parçası olarak yayılan ZLoader 1.1.22.0 sürümünde gözlemlendi.
Araştırmacılar, “Zloader uzun yıllardır önemli bir tehditti ve geri dönüşü muhtemelen yeni fidye yazılımı saldırılarıyla sonuçlanacak” dedi. “Operasyonel yayından kaldırma işlemi geçici olarak faaliyeti durdurdu, ancak arkasındaki tehdit grubunu durdurmadı.”
Bu gelişme, Red Canary’nin, Temmuz 2023’ten bu yana NetSupport RAT, ZLoader ve FakeBat (diğer adıyla EugenLoader) gibi kötü amaçlı yazılımları dağıtmak için MSIX dosyalarından yararlanan kampanyaların hacminde bir artış olduğu konusunda uyarıda bulunması ve Microsoft’un geç saatlerde protokol işleyiciyi varsayılan olarak devre dışı bırakmasına yol açması üzerine geldi. Aralık 2023.
Bu aynı zamanda bilgi hırsızlığı için ilk erişim yolu ve daha şiddetli siber saldırılar için fırlatma rampası olarak kullanılan Rage Stealer ve Monster Stealer gibi yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkmasının da ardından geliyor.