Los autores detrás del malware ZLoader resurgido han agregado una característica que estaba originalmente presente en el troyano bancario Zeus en el que se basa, lo que indica que se está desarrollando activamente.
«La última versión, 2.4.1.0, introduce una característica para evitar la ejecución en máquinas que difieren de la infección original», dijo en un informe técnico el investigador de Zscaler ThreatLabz, Santiago Vicente. «Una característica anti-análisis similar estaba presente en el código fuente filtrado de Zeus 2.X, pero implementada de manera diferente».
ZLoader, también llamado Terdot, DELoader o Silent Night, surgió después de una pausa de casi dos años alrededor de septiembre de 2023, luego de su eliminación a principios de 2022.
Un troyano modular con capacidades para cargar cargas útiles de la siguiente etapa, las versiones recientes del malware han agregado cifrado RSA, así como actualizaciones de su algoritmo de generación de dominio (DGA).
La última señal de la evolución de ZLoader viene en forma de una función antianálisis que restringe la ejecución del binario a la máquina infectada.
La característica, presente en artefactos con versiones superiores a 2.4.1.0, hace que el malware finalice abruptamente si se copia y ejecuta en otro sistema después de la infección inicial. Esto se logra mediante una verificación del Registro de Windows para una clave y un valor específicos.
«La clave y el valor del Registro se generan en base a una semilla codificada que es diferente para cada muestra», dijo Vicente.
«Si el par clave/valor del Registro se crea manualmente (o se parchea esta verificación), ZLoader se inyectará exitosamente en un nuevo proceso. Sin embargo, finalizará nuevamente después de ejecutar solo unas pocas instrucciones. Esto se debe a una verificación secundaria Cabecera MZ de ZLoader.»
Esto significa que la ejecución de ZLoader se detendrá en una máquina diferente a menos que los valores de semilla y encabezado MZ estén configurados correctamente y se repliquen todas las rutas/nombres del Registro y del disco del sistema originalmente comprometido.
Zscaler dijo que la técnica utilizada por Zloader para almacenar la información de instalación y evitar que se ejecute en un host diferente comparte similitudes con la versión 2.0.8 de Zeus, aunque implementada de una manera diferente, que se basaba en una estructura de datos llamada PeSettings para almacenar la configuración en lugar de el Registro.
«En versiones recientes, ZLoader ha adoptado un enfoque sigiloso para las infecciones del sistema», dijo Vicente. «Esta nueva técnica antianálisis hace que ZLoader sea aún más difícil de detectar y analizar».
El desarrollo se produce cuando los actores de amenazas están utilizando sitios web fraudulentos alojados en plataformas legítimas populares como Weebly para difundir malware ladrón y robar datos mediante técnicas de optimización de motores de búsqueda (SEO) de sombrero negro.
«Esto catapulta su sitio fraudulento a la cima de los resultados de búsqueda de un usuario, aumentando la probabilidad de seleccionar inadvertidamente un sitio malicioso y potencialmente infectar su sistema con malware», dijo el investigador de Zscaler Kaivalya Khursale .
Un aspecto notable de estas campañas es que la infección sólo avanza hasta la etapa de entrega de carga útil si la visita proviene de motores de búsqueda como Google, Bing, DuckDuckGo, Yahoo o AOL, y si no se accede directamente a los sitios falsos.
En los últimos dos meses, también se han observado campañas de phishing basadas en correo electrónico dirigidas a organizaciones en los EE. UU., Turquía, Mauricio, Israel, Rusia y Croacia con el malware Taskun , que actúa como facilitador para el Agente Tesla, según los hallazgos de Veriti.
Fuente y redacción: theahckernews.com
