Разработчики вредоносной программы ZLoader, которая недавно возобновила свою активность после двухлетнего перерыва, внедрили в своё детище ряд новых функций, вдохновлённых банковским трояном Zeus.
Сантьяго Висенте, исследователь из компании Zscaler, в своём техническом отчёте отметил, что последняя версия ZLoader, 2.4.1.0, включает функцию, которая предотвращает выполнение программы на компьютерах, отличных от первоначально заражённых. Похожим образом эта функция была реализована в утёкшем исходном коде Zeus 2.X, откуда, видимо, автор ZLoader и черпал своё вдохновение.
ZLoader, также известный как Terdot, DELoader или Silent Night, впервые “восстал из мёртвых” в сентябре 2023 года после своего устранения в начале 2022 года. Этот модульный троян-загрузчик обладает возможностью скачивания и выполнения обширного перечня вредоносного ПО. В последних версиях ZLoader разработчик добавил поддержку RSA-алгоритма, а также обновил алгоритмы генерации доменных имён (DGA).
Новейшие функции анализа, интегрированные в троян, ограничивают выполнение вредоносного кода только на заражённом компьютере. Если попытаться скопировать и выполнить программу на любом другом компьютере после начального заражения, программа будет немедленно прекращать свою работу. Это достигается проверкой реестра Windows на наличие специфического ключа и его значения.
Висенте подчеркнул: если вручную создать пару ключ/значение в реестре или изменить эту проверку, ZLoader успешно внедрится в новый процесс, но затем снова прекратит работу после выполнения лишь нескольких инструкций. Это связано со вторичной проверкой в заголовке MZ-файла.
Как отметил другой исследователь Zscaler, Кайвалья Хурсале, для распространения ZLoader хакеры используют техники поисковой оптимизации и фишинговые сайты на популярных платформах, таких как Weebly. Эти сайты маскируются под легитимные и выводятся в топ результатов поиска, что увеличивает вероятность случайного перехода потенциальной жертвой на вредоносный сайт.
Таким образом, постоянные усилия киберпреступников по улучшению своих вредоносных творений демонстрирует их стремление защитить свои активы и обезопасить вредоносный код от анализа специалистами по кибербезопасности. Подобные усовершенствования лишь подчёркивают важность постоянного мониторинга угроз и развития адекватных мер противодействия в отрасли кибербезопасности.