Les chasseurs de menaces ont identifié une nouvelle campagne qui offre le ZChargeur malware, refait surface près de deux ans après le démantèlement de l’infrastructure du botnet en avril 2022.
Une nouvelle variante du malware serait en développement depuis septembre 2023, a déclaré Zscaler ThreatLabz dans une analyse publiée ce mois-ci.
« La nouvelle version de Zloader a apporté des modifications significatives au module de chargement, qui a ajouté le cryptage RSA, mis à jour l’algorithme de génération de domaine et est désormais compilée pour la première fois pour les systèmes d’exploitation Windows 64 bits », chercheurs Santiago Vicente et Ismael Garcia Perez. dit.
ZLoader, également connu sous les noms de Terdot, DELoader ou Silent Night, est une émanation du cheval de Troie bancaire Zeus qui a fait surface pour la première fois en 2015, avant de devenir un chargeur pour les charges utiles de l’étape suivante, y compris les ransomwares.
Généralement distribué via des e-mails de phishing et des publicités malveillantes sur les moteurs de recherche, ZLoader a subi un coup dur après qu’un groupe de sociétés dirigé par la Digital Crimes Unit (DCU) de Microsoft a pris le contrôle de 65 domaines utilisés pour contrôler et communiquer avec les hôtes infectés.
Les dernières versions du malware, identifiées comme 2.1.6.0 et 2.1.7.0, intègrent du code indésirable et un obfuscation de chaînes pour résister aux efforts d’analyse. Chaque artefact ZLoader devrait également avoir un nom de fichier spécifique pour pouvoir être exécuté sur l’hôte compromis.
« Cela pourrait échapper aux bacs à sable de logiciels malveillants qui renomment des exemples de fichiers », ont noté les chercheurs.
En plus de chiffrer le configuration statique utilisant RC4 avec une clé alphanumérique codée en dur pour dissimuler les informations liées au nom de la campagne et aux serveurs de commande et de contrôle (C2), le malware a été observé en s’appuyant sur une version mise à jour de l’algorithme de génération de domaine comme mesure de repli dans le Dans ce cas, les serveurs C2 principaux sont inaccessibles.
La méthode de communication de sauvegarde a été observée pour la première fois dans la version 1.1.22.0 de ZLoader, qui s’est propagée dans le cadre de campagnes de phishing détectées en mars 2020.
« Zloader a constitué une menace importante pendant de nombreuses années et son retour entraînera probablement de nouvelles attaques de ransomware », ont déclaré les chercheurs. « Le retrait opérationnel a temporairement stoppé l’activité, mais pas le groupe menaçant derrière. »
Le développement intervient sous le nom de Red Canary averti d’une augmentation du volume de campagnes exploitant les fichiers MSIX pour diffuser des logiciels malveillants tels que NetSupport RAT, ZLoader et FakeBat (alias EugenLoader), depuis juillet 2023, incitant Microsoft à désactiver le gestionnaire de protocole par défaut fin décembre 2023.
Cela fait également suite à l’émergence de nouvelles familles de malwares voleurs telles que Voleur de rage et Voleur de monstres qui sont utilisées comme voie d’accès initiale pour le vol d’informations et comme rampe de lancement pour des cyberattaques plus graves.