Los cazadores de amenazas han identificado una nueva campaña que ofrece la Cargador Z malware, que resurgió casi dos años después de que la infraestructura de la botnet fuera desmantelada en abril de 2022.
Se dice que se ha estado desarrollando una nueva variante del malware desde septiembre de 2023, dijo Zscaler ThreatLabz en un análisis publicado este mes.
«La nueva versión de Zloader realizó cambios significativos en el módulo de carga, que agregó cifrado RSA, actualizó el algoritmo de generación de dominio y ahora está compilado para sistemas operativos Windows de 64 bits por primera vez», afirman los investigadores Santiago Vicente e Ismael García Pérez. dicho.
ZLoader, también conocido con los nombres de Terdot, DELoader o Silent Night, es una rama del troyano bancario Zeus que apareció por primera vez en 2015, antes de pasar a funcionar como un cargador para cargas útiles de la siguiente etapa, incluido el ransomware.
ZLoader, que normalmente se distribuye a través de correos electrónicos de phishing y anuncios maliciosos en motores de búsqueda, sufrió un duro golpe después de que un grupo de empresas lideradas por la Unidad de Delitos Digitales (DCU) de Microsoft tomó el control de 65 dominios que se utilizaban para controlar y comunicarse con los hosts infectados.
Las últimas versiones del malware, rastreadas como 2.1.6.0 y 2.1.7.0, incorporan código basura y ofuscación de cadenas para resistir los esfuerzos de análisis. También se espera que cada artefacto ZLoader tenga un nombre de archivo específico para ejecutarse en el host comprometido.
«Esto podría evadir los entornos limitados de malware que cambian el nombre de los archivos de muestra», señalaron los investigadores.
Además de cifrar el configuración estática Al utilizar RC4 con una clave alfanumérica codificada para ocultar información relacionada con el nombre de la campaña y los servidores de comando y control (C2), se ha observado que el malware depende de una versión actualizada del algoritmo de generación de dominio como medida alternativa en el caso de que los servidores C2 primarios sean inaccesibles.
El método de comunicación de respaldo se observó por primera vez en la versión 1.1.22.0 de ZLoader, que se propagó como parte de campañas de phishing detectadas en marzo de 2020.
«Zloader fue una amenaza importante durante muchos años y su regreso probablemente resultará en nuevos ataques de ransomware», dijeron los investigadores. «El derribo operativo detuvo temporalmente la actividad, pero no el grupo de amenaza detrás de ella».
El desarrollo llega como Red Canary. prevenido de un aumento en el volumen de campañas que aprovechan archivos MSIX para distribuir malware como NetSupport RAT, ZLoader y FakeBat (también conocido como EugenLoader), desde julio de 2023, lo que llevó a Microsoft a desactivar el controlador de protocolo de forma predeterminada a finales de diciembre de 2023.
También sigue la aparición de nuevas familias de malware ladrón como Ladrón de ira y Ladrón de monstruos que se están utilizando como vía de acceso inicial para el robo de información y como plataforma de lanzamiento para ciberataques más graves.