Yeniden ortaya çıkanların arkasındaki yazarlar ZYükleyici Kötü amaçlı yazılım, temel aldığı Zeus bankacılık truva atında orijinal olarak mevcut olan bir özelliği ekledi ve bu da onun aktif olarak geliştirildiğini gösteriyor.
Zscaler ThreatLabz araştırmacısı Santiago Vicente, “En son sürüm olan 2.4.1.0, orijinal enfeksiyondan farklı makinelerde yürütmeyi engelleyen bir özellik sunuyor.” söz konusu teknik bir raporda. “Benzer bir anti-analiz özelliği, sızdırılan Zeus 2.X kaynak kodunda da mevcuttu ancak farklı şekilde uygulandı.”
Terdot, DELoader veya Sessiz Gece olarak da adlandırılan ZLoader, 2022’nin başlarında yayından kaldırılmasının ardından Eylül 2023 civarında yaklaşık iki yıllık bir aradan sonra ortaya çıktı.
Sonraki aşamadaki verileri yükleme kapasitesine sahip modüler bir truva atı olan kötü amaçlı yazılımın son sürümleri, etki alanı oluşturma algoritmasında (DGA) güncellemelerin yanı sıra RSA şifrelemesini de ekledi.
ZLoader’ın gelişiminin en son işareti, ikili dosyanın yürütülmesini virüslü makineyle sınırlayan bir anti-analiz özelliği biçiminde geliyor.
2.4.1.0’dan daha büyük sürümlere sahip yapıtlarda bulunan bu özellik, kötü amaçlı yazılımın, ilk enfeksiyondan sonra başka bir sistemde kopyalanıp çalıştırılması durumunda aniden sona ermesine neden olur. Bu, belirli bir anahtar ve değer için Windows Kayıt Defteri kontrolü aracılığıyla gerçekleştirilir.
Vicente, “Kayıt defteri anahtarı ve değeri, her örnek için farklı olan sabit kodlanmış bir tohuma dayalı olarak üretiliyor” dedi.
“Kayıt defteri anahtarı/değer çifti manuel olarak oluşturulursa (veya bu denetime yama uygulanırsa), ZLoader kendisini yeni bir işleme başarılı bir şekilde enjekte edecektir. Ancak, yalnızca birkaç talimatın yürütülmesinden sonra tekrar sonlandırılacaktır. Bunun nedeni, ikincil bir denetimdir. ZLoader’ın MZ başlığı.”
Bu, tohum ve MZ başlık değerleri doğru şekilde ayarlanmadığı ve orijinal olarak güvenliği ihlal edilen sistemdeki tüm Kayıt Defteri ve disk yolları/adları kopyalanmadığı sürece ZLoader’ın yürütmesinin farklı bir makinede duracağı anlamına gelir.
Zscaler, Zloader’ın kurulum bilgilerini depolamak ve farklı bir ana bilgisayarda çalıştırılmasını önlemek için kullandığı tekniğin, farklı bir şekilde uygulanmış olsa da, adı verilen bir veri yapısına dayanan Zeus sürümü 2.0.8 ile benzerlikler paylaştığını söyledi. Pe Ayarları ile konfigürasyonu sakla Kayıt Defteri yerine.
Vicente, “Son sürümlerde ZLoader, sistem enfeksiyonlarına karşı gizli bir yaklaşım benimsedi” dedi. “Bu yeni anti-analiz tekniği, ZLoader’ın tespit edilmesini ve analiz edilmesini daha da zorlaştırıyor.”
Bu gelişme, tehdit aktörlerinin, Weebly gibi popüler meşru platformlarda barındırılan sahte web sitelerini kullanarak kötü amaçlı yazılımları yaymak ve siyah şapkalı arama motoru optimizasyonu (SEO) teknikleri yoluyla veri çalmak için kullanılmasıyla ortaya çıkıyor.
Zscaler araştırmacısı Kaivalya Khursale, “Bu, sahte sitelerin kullanıcının arama sonuçlarında en üst sıralara çıkmasına neden oluyor, yanlışlıkla kötü amaçlı bir site seçme ve sistemlerine kötü amaçlı yazılım bulaştırma olasılığını artırıyor.” söz konusu.
Bu kampanyaların dikkate değer bir yönü, ziyaretin Google, Bing, DuckDuckGo, Yahoo veya AOL gibi arama motorlarından kaynaklanması ve sahte sitelere doğrudan erişilmemesi durumunda, enfeksiyonun yalnızca yük dağıtım aşamasına ilerlemesidir.
Son iki ay içinde ABD, Türkiye, Mauritius, İsrail, Rusya ve Hırvatistan’daki kuruluşları hedef alan e-posta tabanlı kimlik avı kampanyaları da gözlemlendi. Taşkun kötü amaçlı yazılımıAjan Tesla için kolaylaştırıcı görevi gören bulgular Veriti’den.