Los autores detrás del resurgimiento Cargador Z El malware ha agregado una característica que estaba originalmente presente en el troyano bancario Zeus en el que se basa, lo que indica que se está desarrollando activamente.
«La última versión, 2.4.1.0, introduce una característica para evitar la ejecución en máquinas que difieren de la infección original», afirma Santiago Vicente, investigador de Zscaler ThreatLabz dicho en un informe técnico. «Una característica anti-análisis similar estaba presente en el código fuente filtrado de ZeuS 2.X, pero implementada de manera diferente».
ZLoader, también llamado Terdot, DELoader o Silent Night, surgió después de una pausa de casi dos años alrededor de septiembre de 2023 luego de su eliminación a principios de 2022.
Un troyano modular con capacidades para cargar cargas útiles de la siguiente etapa, las versiones recientes del malware han agregado cifrado RSA, así como actualizaciones de su algoritmo de generación de dominio (DGA).
La última señal de la evolución de ZLoader viene en forma de una función antianálisis que restringe la ejecución del binario a la máquina infectada.
La característica, presente en artefactos con versiones superiores a 2.4.1.0, hace que el malware finalice abruptamente si se copia y ejecuta en otro sistema después de la infección inicial. Esto se logra mediante una verificación del Registro de Windows para una clave y un valor específicos.
«La clave y el valor del Registro se generan en base a una semilla codificada que es diferente para cada muestra», dijo Vicente.
«Si el par clave/valor del Registro se crea manualmente (o se parchea esta verificación), ZLoader se inyectará exitosamente en un nuevo proceso. Sin embargo, finalizará nuevamente después de ejecutar solo unas pocas instrucciones. Esto se debe a una verificación secundaria Cabecera MZ de ZLoader.»
Esto significa que la ejecución de ZLoader se detendrá en una máquina diferente a menos que los valores de semilla y encabezado MZ estén configurados correctamente y se repliquen todas las rutas/nombres del Registro y del disco del sistema originalmente comprometido.
Zscaler dijo que la técnica utilizada por Zloader para almacenar la información de instalación y evitar que se ejecute en un host diferente comparte similitudes con la versión 2.0.8 de ZeuS, aunque implementada de una manera diferente, que se basaba en una estructura de datos llamada PeConfiguración a almacenar la configuración en lugar del Registro.
«En versiones recientes, ZLoader ha adoptado un enfoque sigiloso para las infecciones del sistema», dijo Vicente. «Esta nueva técnica antianálisis hace que ZLoader sea aún más difícil de detectar y analizar».
El desarrollo se produce cuando los actores de amenazas están utilizando sitios web fraudulentos alojados en plataformas legítimas populares como Weebly para difundir malware ladrón y robar datos mediante técnicas de optimización de motores de búsqueda (SEO) de sombrero negro.
«Esto catapulta su sitio fraudulento a la cima de los resultados de búsqueda de un usuario, aumentando la probabilidad de seleccionar inadvertidamente un sitio malicioso y potencialmente infectar su sistema con malware», dijo el investigador de Zscaler Kaivalya Khursale dicho.
Un aspecto notable de estas campañas es que la infección sólo avanza hasta la etapa de entrega de carga útil si la visita proviene de motores de búsqueda como Google, Bing, DuckDuckGo, Yahoo o AOL, y si no se accede directamente a sitios falsos.
Durante los últimos dos meses, también se han observado campañas de phishing basadas en correo electrónico dirigidas a organizaciones en los EE. UU., Turquía, Mauricio, Israel, Rusia y Croacia con software malicioso Taskunque actúa como facilitador para el Agente Tesla, según recomendaciones de Veriti.
