Атака живых мертвецов: вредоносный загрузчик ZLoader восстал из цифровой могилы

Эксперты по кибербезопасности обнаружили новую кампанию по распространению вредоносной программы ZLoader. Примечательно, что произошло это почти через два года после того, как в апреле 2022 года была демонтирована инфраструктура этого ботнета.

По данным компании Zscaler, разработка нового варианта ZLoader велась с сентября 2023 года. «В новой версии ZLoader были внесены значительные изменения в загрузочный модуль: добавлено RSA-шифрование, обновлён алгоритм генерации доменных имён и впервые скомпилирована версия для 64-разрядных операционных систем Windows», — сообщили исследователи Сантьяго Висенте и Исмаэль Гарсия Перес.

ZLoader, также известный как Terdot, DELoader или Silent Night — это производная от банковского трояна Zeus, впервые появившееся в 2015 году. Вредонос функционирует как загрузчик для другого вредоносного ПО, в том числе вымогательского.

Как правило, ZLoader распространяется через фишинговые письма и вредоносные объявления в поисковых системах. В 2022 году подразделение по борьбе с киберпреступностью Microsoft в сотрудничестве с другими компаниями перехватила контроль над 65 доменами, используемыми для управления инфицированными хостами и связи с ними. Это нанесло серьёзный удар по инфраструктуре ZLoader.

Несмотря на это, разработка вредоносной программы продолжилась. Последние версии ZLoader, отслеживаемые как 2.1.6.0 и 2.1.7.0, включают ряд методов противодействия анализу. В частности, используется мусорный код и обфускация строк, чтобы затруднить работу систем обнаружения вредоносных программ.

Кроме того, каждый экземпляр ZLoader должен иметь определённое имя файла для выполнения на заражённом хосте. То есть, если переименовать вредоносный файл, он не покажет вредоносной активности. «Это может обойти песочницы для анализа вредоносных программ, которые переименовывают файлы исследуемых образцов», — отметили исследователи.

Для сокрытия критической информации о названии кампании, серверах управления и других данных используется шифрование RC4 с жёстко прописанным алфавитно-цифровым ключом.

Кроме того, в случае недоступности основных серверов управления используется обновлённая версия алгоритма генерации доменов в качестве резервной меры для связи с ботнетом. Этот механизм был впервые обнаружен в версии ZLoader 1.1.22.0, распространявшейся в рамках фишинговых кампаний в марте 2020 года.

По мнению исследователей, возвращение ZLoader на «киберарену» представляет серьёзную опасность: «Zloader долгие годы был значимой угрозой, и его реанимация, вероятно, приведёт к новой волне атак вымогательского ПО».

Таким образом, новая кампания с ZLoader представляет серьёзную опасность и требует пристального внимания со стороны компаний и пользователей. Необходимо принять меры для своевременного обнаружения этой и других актуальных киберугроз, чтобы минимизировать риски и ущерб от возможных атак.