Caçadores de ameaças identificaram uma nova campanha que distribui o malware ZLoader, ressurgindo quase dois anos depois que a infraestrutura da botnet foi desmontada em abril de 2022.
Uma nova variante do malware teria estado em desenvolvimento desde setembro de 2023, segundo disse Zscaler ThreatLabz em uma análise publicada este mês.
"A nova versão do Zloader fez mudanças significativas no módulo de carregamento, que adicionou criptografia RSA, atualizou o algoritmo de geração de domínio e agora é compilado pela primeira vez para sistemas operacionais Windows de 64 bits," disseram os pesquisadores Santiago Vicente e Ismael Garcia Perez.
O ZLoader, também conhecido pelos nomes Terdot, DELoader ou Silent Night, é uma ramificação do trojan bancário Zeus que surgiu pela primeira vez em 2015, antes de se tornar um loader para cargas úteis de próxima etapa, incluindo ransomware.
Tipicamente distribuído via e-mails de phishing e anúncios maliciosos de motores de busca, o ZLoader sofreu um grande golpe após um grupo de empresas liderado pela Unidade de Crimes Digitais (DCU) da Microsoft assumir o controle de 65 domínios que eram usados para controlar e comunicar-se com os hosts infectados.
As últimas versões do malware, rastreadas como 2.1.6.0 e 2.1.7.0, incorporam código inútil e ofuscação de string para resistir a esforços de análise.
Cada artefato ZLoader também se espera que tenha um nome de arquivo específico para ser executado no host comprometido.
"Isso poderia evitar sandboxes de malware que renomeiam arquivos de amostra," observaram os pesquisadores.
Além de criptografar a configuração estática usando RC4 com uma chave alfanumérica codificada para esconder informações relacionadas ao nome da campanha e aos servidores de comando e controle (C2), observou-se que o malware depende de uma versão atualizada do algoritmo de geração de domínio como medida de contingência no caso de os servidores C2 primários estarem inacessíveis.
O método de comunicação de backup foi observado pela primeira vez na versão 1.1.22.0 do ZLoader, que foi propagada como parte de campanhas de phishing detectadas em março de 2020.
"Zloader foi uma ameaça significativa por muitos anos e seu retorno provavelmente resultará em novos ataques de ransomware," disseram os pesquisadores.
"A desativação operacional parou temporariamente a atividade, mas não o grupo de ameaças por trás dela."
O desenvolvimento ocorre enquanto a Red Canary alertou para um aumento no volume de campanhas que utilizam arquivos MSIX para entregar malwares como NetSupport RAT, ZLoader e FakeBat (também conhecido como EugenLoader), desde julho de 2023, levando a Microsoft a desabilitar o manipulador de protocolo por padrão em dezembro de 2023.
Também acompanha o surgimento de novas famílias de malwares stealer como Rage Stealer e Monster Stealer que estão sendo usados como um caminho de acesso inicial para roubo de informações e como plataforma de lançamento para ataques cibernéticos mais graves.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...