ZLoader 2.4.1.0: ещё больше функций, вдохновлённых другими популярными вредоносами

ZLoader 2.4.1.0: ещё больше функций, вдохновлённых другими популярными вредоносами

Чем же авторы «воскресшего» загрузчика удивили исследователей на этот раз?

image

Разработчики вредоносной программы ZLoader, которая недавно возобновила свою активность после двухлетнего перерыва, внедрили в своё детище ряд новых функций, вдохновлённых банковским трояном Zeus.

Сантьяго Висенте, исследователь из компании Zscaler, в своём техническом отчёте отметил, что последняя версия ZLoader, 2.4.1.0, включает функцию, которая предотвращает выполнение программы на компьютерах, отличных от первоначально заражённых. Похожим образом эта функция была реализована в утёкшем исходном коде Zeus 2.X, откуда, видимо, автор ZLoader и черпал своё вдохновение.

ZLoader, также известный как Terdot, DELoader или Silent Night, впервые «восстал из мёртвых» в сентябре 2023 года после своего устранения в начале 2022 года. Этот модульный троян-загрузчик обладает возможностью скачивания и выполнения обширного перечня вредоносного ПО. В последних версиях ZLoader разработчик добавил поддержку RSA-алгоритма, а также обновил алгоритмы генерации доменных имён (DGA).

Новейшие функции анализа, интегрированные в троян, ограничивают выполнение вредоносного кода только на заражённом компьютере. Если попытаться скопировать и выполнить программу на любом другом компьютере после начального заражения, программа будет немедленно прекращать свою работу. Это достигается проверкой реестра Windows на наличие специфического ключа и его значения.

Висенте подчеркнул: если вручную создать пару ключ/значение в реестре или изменить эту проверку, ZLoader успешно внедрится в новый процесс, но затем снова прекратит работу после выполнения лишь нескольких инструкций. Это связано со вторичной проверкой в заголовке MZ-файла.

Как отметил другой исследователь Zscaler, Кайвалья Хурсале, для распространения ZLoader хакеры используют техники поисковой оптимизации и фишинговые сайты на популярных платформах, таких как Weebly. Эти сайты маскируются под легитимные и выводятся в топ результатов поиска, что увеличивает вероятность случайного перехода потенциальной жертвой на вредоносный сайт.

Таким образом, постоянные усилия киберпреступников по улучшению своих вредоносных творений демонстрирует их стремление защитить свои активы и обезопасить вредоносный код от анализа специалистами по кибербезопасности. Подобные усовершенствования лишь подчёркивают важность постоянного мониторинга угроз и развития адекватных мер противодействия в отрасли кибербезопасности.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь