Riapparizione del Malware ZLoader: Nuova Variante con Supporto per Windows a 64 Bit
Cacciatori di minacce hanno recentemente identificato una nuova campagna di distribuzione del malware ZLoader, che ha fatto ritorno sulla scena della cybersecurity quasi due anni dopo che l’infrastruttura della botnet era stata smantellata nell’aprile 2022.
Secondo un’analisi di Zscaler ThreatLabz pubblicata questo mese, una nuova variante di ZLoader sembra essere stata sviluppata a partire da settembre 2023.
I ricercatori Santiago Vicente e Ismael Garcia Perez hanno dichiarato che questa nuova versione ha apportato cambiamenti significativi al modulo di caricamento, introducendo la crittografia RSA, aggiornando l’algoritmo di generazione del dominio ed è ora compilata per i sistemi operativi Windows a 64 bit per la prima volta.
ZLoader, noto anche con i nomi Terdot, DELoader o Silent Night, è un derivato del trojan bancario Zeus emerso nel 2015.
Originariamente progettato come trojan bancario, ZLoader è successivamente diventato un caricatore per payload successivi, inclusi ransomware.
Il malware è tipicamente distribuito attraverso email di phishing e annunci maligni nei motori di ricerca.
Dopo un duro colpo subito da un gruppo di aziende guidato dall’unità contro i crimini digitali di Microsoft (DCU), che ha preso il controllo di 65 domini utilizzati per controllare e comunicare con gli host infetti, ZLoader ha fatto ritorno con nuove versioni del malware, tracciate come 2.1.6.0 e 2.1.7.0.
Queste nuove versioni incorporano codice spazzatura e oscuramento delle stringhe per resistere agli sforzi di analisi.
Ogni artefatto ZLoader ha un nome file specifico per essere eseguito sull’host compromesso, un approccio che potrebbe eludere le sandbox per malware che rinominano i file di esempio.
Il malware crittografa la configurazione statica utilizzando RC4 con una chiave alfanumerica rigida per nascondere informazioni relative al nome della campagna e ai server di controllo e comando (C2).
Inoltre, il malware si affida a una versione aggiornata dell’algoritmo di generazione del dominio come misura di riserva nel caso in cui i server C2 primari siano inaccessibili.
L’uso di un metodo di comunicazione di backup è stato osservato per la prima volta in ZLoader versione 1.1.22.0, propagato come parte di campagne di phishing rilevate nel marzo 2020.
Nonostante la temporanea interruzione operativa, il ritorno di ZLoader potrebbe portare a nuovi attacchi ransomware.
Questo sviluppo segue l’avvertimento di Red Canary su un aumento del volume di campagne che sfruttano file MSIX per distribuire malware come NetSupport RAT, ZLoader e FakeBat dal luglio 2023, che ha portato Microsoft a disabilitare il gestore di protocollo per impostazione predefinita alla fine del dicembre 2023.
In aggiunta, sono emerse nuove famiglie di malware stealer come Rage Stealer e Monster Stealer, utilizzate come via di accesso iniziale per il furto di informazioni e come piattaforma di lancio per attacchi informatici più gravi.