ZLoader, virüslü sistemlerden hassas finansal bilgileri çalan bir bankacılık Truva Atı kötü amaçlı yazılımıdır. Tehdit aktörleri çok sayıda yasa dışı etkinlik gerçekleştirmek için bu kötü amaçlı yazılımdan yararlanıyor.
Bu kötü amaçlı yazılım genellikle kimlik avı e-postaları veya kötü amaçlı web siteleri aracılığıyla dağıtılarak, tehdit aktörlerinin kullanıcıların bankacılık bilgilerini gizlice ele geçirmesine olanak tanır.
ANY.RUN’daki siber güvenlik araştırmacıları yakın zamanda keşfetti ZLoader’ın artık Windows sistemlerinin 64 bit sürümüne saldırdığını söyledi.
HERHANGİ BİR ÇALIŞMA SOC ve DFIR ekipleri için kötü amaçlı yazılım analizinin ağır yükünün yanı sıra Tehdit İstihbaratı Akışları ve Tehdit İstihbaratı Araması. Her gün 300.000 profesyonel, olayları araştırmak ve tehdit analizini kolaylaştırmak için platformumuzu kullanıyor.
Teknik Analiz
Yeni ZLoader kötü amaçlı yazılım kampanyasının Nisan 2022’de kontrol ağının kapatılmasından sonra yeniden canlandığı tespit edildiğinden, ZLoader yükseltilmiş güçlerle geri dönüyor.
Microsoft’un Dijital Suçlar Birimi, ZLoader’ı sert bir şekilde vurmak için 65 alanı ele geçirdi. Ancak Zscaler ThreatLabz, Eylül 2023’ten bu yana büyük yükleyici modülü yükseltmelerini içeren yeni bir sürüm konusunda uyarıyor.
Bunun dışında, 2.1.6.0 ve 2.1.7.0 sürümleri, analizden kaçınmak için önemsiz kod ve dize gizlemeyi kullanıyor; bu da, otomatik algılamayı gizlice aşmak için belirli dosya adlarına duyulan ihtiyacı gösteriyor.
RC4 şifrelemesini ve sabit bir anahtarı kullanan tüm bu sürümler, kampanya ve komuta ve kontrol sunucusu verilerini gizler.
Yenilenen etki alanı oluşturma algoritması, ana sunucuların çökmesi durumunda yedek iletişim sunar. ZLoader fidye yazılımı saldırıları tehdidini ima ederek başarısızlıkların ardından da devam ediyor ve grubun yayından kaldırılma sonrası gücünü sağlıyor.
ZLoader (diğer adıyla Terdot, DELoader, Silent Night) 2015 yılında Zeus’tan doğdu. Bu kötü amaçlı yazılım, bir bankacılık truva atı olarak başladı ve şimdi fidye yazılımı yayıyor.
2011’de sızdırılan bir koddan kaynaklandı ve 2020’de sunucunun kapatılmasına kadar COVID-19 saldırılarıyla ivme kazandı.
ZLoader, virüslü sistemlere ekstra kötü amaçlı yazılım gönderir. Yükleyiciler, 2023’te 24.136 tespitle baskın oldukları için saldırılar için hayati önem taşıyor.
En son ZLoader sürümünü önlemek için firmaların dosya karmaları, C2 IP’leri ve URL’ler gibi IOC’lerle güvenliği yenilemeleri gerekir. ANY.RUN, ZLoader’a karşı uç noktaları, SIEM ve SOAR’ı güçlendiren profesyoneller için IOC çıkarımını kolaylaştırır.
Bu ANY.RUN sanal alan görevi IOC’lerin yeni ZLoader varyantından nasıl alınacağını gösteren bir örnek olarak.
Bunun yanı sıra ANY.RUN, kontrol sunucusuna bağlı olmadığında bile C2 adresleri gibi kötü amaçlı yazılımlardan tehlike göstergelerinin çıkarılmasına olanak tanır.
Üstelik doğrudan görev üzerinden ihtiyaca göre kullanılabilecek Suricata kurallarına da doğrudan erişim sağlıyor.
Öneriler
Yeni ZLoader varyantına karşı güvenlik sağlamak için şirketlerin güvenlik sistemlerini şu şekilde güncellemeleri gerekir: Uzlaşma Göstergeleridosya karmaları, C2 IP adresleri ve URL’ler gibi.
Aşağıda tüm önerilerden bahsettik:
- Güçlü Antivirüs Yazılımı Kullanın
- Yazılımı güncellediğinizden emin olun
- E-postalara karşı dikkatli olun
- İki Faktörlü Kimlik Doğrulamayı Etkinleştir (2FA)
- Kullanıcıları eğitin
- Düzenli yedeklemeler alın
- Ağ bölümlendirmesini uygulayın
- Hesap etkinliğini düzenli olarak izleyin
- Bir olay müdahale planı geliştirin ve düzenli olarak güncelleyin
ANY.RUN etkileşimli kötü amaçlı yazılım korumalı alanı güvenlik profesyonelleri için IOC çıkarma sürecini kolaylaştırır. Daha sonra altyapılarını ZLoader’a karşı korumak için uç nokta güvenliği, SIEM ve SOAR sistemlerinde toplanan göstergeleri kullanabilirler.