I ricercatori hanno identificato una nuova campagna che distribuisce il malware ZLoader, riemergendo quasi due anni dopo lo smantellamento dell’infrastruttura del botnet nell’aprile 2022. Una nuova variante del malware è stata sviluppata da settembre 2023, con significative modifiche al modulo del loader, tra cui l’aggiunta di crittografia RSA, l’aggiornamento dell’algoritmo di generazione di domini e la compilazione per i sistemi operativi Windows a 64 bit per la prima volta.
Caratteristiche e Distribuzione:
ZLoader, noto anche come Terdot, DELoader o Silent Night, è un derivato del trojan bancario Zeus che è apparso per la prima volta nel 2015, prima di diventare un loader per payload di prossima fase, inclusi ransomware. Tipicamente distribuito tramite email di phishing e annunci pubblicitari malevoli, ZLoader ha subito un duro colpo dopo che un gruppo di aziende guidato dall’Unità Crimini Digitali di Microsoft ha preso il controllo di 65 domini usati per controllare e comunicare con gli host infetti.
Sviluppi Recenti e Precauzioni:
Le versioni più recenti del malware, tracciate come 2.1.6.0 e 2.1.7.0, incorporano codice spazzatura e oscuramento delle stringhe per resistere agli sforzi di analisi. Ogni artefatto ZLoader deve anche avere un nome di file specifico per essere eseguito sull’host compromesso. Inoltre, il malware utilizza l’algoritmo di generazione di domini aggiornato come misura di backup nel caso in cui i server C2 primari non siano accessibili.
Gli esperti di Zscaler avvertono che il ritorno di ZLoader potrebbe portare a nuovi attacchi ransomware, sottolineando che l’eliminazione operativa ha interrotto temporaneamente l’attività, ma non il gruppo di minacce dietro di essa.