ZLoader se distribuye a través de correos electrónicos de phishing y anuncios maliciosos
Los cazadores de amenazas han identificado una nueva campaña que distribuye el malware ZLoader, que resurgió casi dos años después de que se desmantelara la infraestructura de la botnet en abril de 2022.
Se ha estado desarrollando una nueva variante del malware desde septiembre de 2023, dijo Zscaler ThreatLabz en un análisis publicado este mes.
"La nueva versión de Zloader realizó cambios significativos en el módulo de carga, que agregó cifrado RSA, actualizó el algoritmo de generación de dominio y ahora está compilado por primera vez para sistemas operativos Windows de 64 bits", dijeron los investigadores Santiago Vicente e Ismael García Pérez.
ZLoader, también conocido con los nombres de Terdot, DELoader o Silent Night, es una rama del troyano bancario Zeus que apareció por primera vez en 2015, antes de pasar a funcionar como un cargador (loader) para cargas útiles de la siguiente etapa, incluido el ransomware.
ZLoader, que normalmente se distribuye a través de correos electrónicos de phishing y anuncios maliciosos en motores de búsqueda, sufrió un duro golpe después de que un grupo de empresas lideradas por la Unidad de Delitos Digitales (DCU) de Microsoft tomó el control de 65 dominios que se utilizaban para controlar y comunicarse con los hosts infectados.
Las últimas versiones del malware, rastreadas como 2.1.6.0 y 2.1.7.0, incorporan código basura y ofuscación de cadenas para resistir los esfuerzos de análisis. También se espera que cada artefacto ZLoader tenga un nombre de archivo específico para ejecutarse en el host comprometido.
"Esto podría evadir los entornos limitados de malware que cambian el nombre de los archivos de muestra", señalaron los investigadores.
Además de cifrar la configuración estática utilizando RC4 con una clave alfanumérica codificada para ocultar información relacionada con el nombre de la campaña y los servidores de comando y control (C2), se ha observado que el malware depende de una versión actualizada del algoritmo de generación de dominio como medida alternativa en caso de que sean inaccesibles los servidores C2 principales.
El método de comunicación de respaldo se observó por primera vez en la versión 1.1.22.0 de ZLoader, que se propagó como parte de campañas de phishing detectadas en marzo de 2020.
"Zloader fue una amenaza importante durante muchos años y su regreso probablemente resultará en nuevos ataques de ransomware", dijeron los investigadores. "El derribo operativo detuvo temporalmente la actividad, pero no el grupo de amenaza detrás de ella".
El desarrollo se produce cuando Red Canary advirtió sobre un aumento en el volumen de campañas que aprovechan archivos MSIX para entregar malware como NetSupport RAT, ZLoader y FakeBat (también conocido como EugenLoader), desde julio de 2023, lo que provocó que Microsoft deshabilitara el controlador de protocolo de forma predeterminada a fines de diciembre de 2023.
También sigue la aparición de nuevas familias de malware ladrón, como Rage Stealer y Monster Stealer, que se utilizan como vía de acceso inicial para el robo de información y como plataforma de lanzamiento para ataques cibernéticos más graves.
