Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Вредоносный загрузчик ZLoader возвращается из небытия

01/02/24

hack192-3

Эксперты по кибербезопасности обнаружили новую кампанию по распространению вредоносной программы ZLoader. Примечательно,  пишет Securitylab, что произошло это почти через два года после того, как в апреле 2022 года была демонтирована инфраструктура этого ботнета.

По данным компании Zscaler, разработка нового варианта ZLoader велась с сентября 2023 года. «В новой версии ZLoader были внесены значительные изменения в загрузочный модуль: добавлено RSA-шифрование, обновлён алгоритм генерации доменных имён и впервые скомпилирована версия для 64-разрядных операционных систем Windows», — сообщили исследователи Сантьяго Висенте и Исмаэль Гарсия Перес.

ZLoader, также известный как Terdot, DELoader или Silent Night — это производная от банковского трояна Zeus, впервые появившееся в 2015 году. Вредонос функционирует как загрузчик для другого вредоносного ПО, в том числе вымогательского.

Как правило, ZLoader распространяется через фишинговые письма и вредоносные объявления в поисковых системах. В 2022 году подразделение по борьбе с киберпреступностью Microsoft в сотрудничестве с другими компаниями перехватила контроль над 65 доменами, используемыми для управления инфицированными хостами и связи с ними. Это нанесло серьёзный удар по инфраструктуре ZLoader.

Несмотря на это, разработка вредоносной программы продолжилась. Последние версии ZLoader, отслеживаемые как 2.1.6.0 и 2.1.7.0, включают ряд методов противодействия анализу. В частности, используется мусорный код и обфускация строк, чтобы затруднить работу систем обнаружения вредоносных программ.

Кроме того, каждый экземпляр ZLoader должен иметь определённое имя файла для выполнения на заражённом хосте. То есть, если переименовать вредоносный файл, он не покажет вредоносной активности. «Это может обойти песочницы для анализа вредоносных программ, которые переименовывают файлы исследуемых образцов», — отметили исследователи.

Для сокрытия критической информации о названии кампании, серверах управления и других данных используется шифрование RC4 с жёстко прописанным алфавитно-цифровым ключом.

Кроме того, в случае недоступности основных серверов управления используется обновлённая версия алгоритма генерации доменов в качестве резервной меры для связи с ботнетом. Этот механизм был впервые обнаружен в версии ZLoader 1.1.22.0, распространявшейся в рамках фишинговых кампаний в марте 2020 года.

По мнению исследователей, возвращение ZLoader на «киберарену» представляет серьёзную опасность: «Zloader долгие годы был значимой угрозой, и его реанимация, вероятно, приведёт к новой волне атак вымогательского ПО».

Таким образом, новая кампания с ZLoader представляет серьёзную опасность и требует пристального внимания со стороны компаний и пользователей. Необходимо принять меры для своевременного обнаружения этой и других актуальных киберугроз, чтобы минимизировать риски и ущерб от возможных атак.

Темы:Банки и финансыWindowsтрояныботнетZscaler
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

  • Как соответствовать требованиям ЦБ РФ при защите мобильных приложений
    Юрий Шабалин, Ведущий архитектор Swordfish Security
    Профиль защиты прикладного программного обеспечения – это методический документ Банка России, согласно которому приложения должны проходить оценку на соответствие госстандарту в специальных лабораториях.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Кто зарабатывает на вэйлинге в России?
    Алексей Гусев, старший советник председателя правления банка “ЦентроКредит”, преподаватель РТУ РУДН и НИЯУ МИФИ
    Вэйлинг – специализированный и таргетированный вариант привычного фишинга, нацеленный на VIP-клиентов, относится к не столь распространенному и потому редко упоминаемому виду. Однако в последнее время хакеры начинают обращать на него внимание, а его методики используются в качестве базы для более сложного таргетированного фишинга.
  • Топ-8 ошибок соответствия ГОСТ 57580.1
    Константин Чмиль, консультант по ИБ RTM Group
    Регулятор вводит все новые положения, которые собраны в ГОСТ 57580.1 и ужесточаются год от года. Если постоянно проходить проверку на соответствие требованиям этого документа, то вероятность возникновения инцидентов можно свести к минимуму.
  • КиберНЕустойчивость и как с ней бороться
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Определение показателей операционной надежности для технологических процессов
  • Кибербезопасность ЦВЦБ – цифровой валюты центрального банка
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    Если все планы реализуются, то с 1 апреля 2023 г. цифровой рубль должен появиться в экономическом пространстве

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...