Οι ανιχνευτές απειλών εντόπισαν μια νέα εκστρατεία που διανέμει το malware ZLoader, το οποίο έκανε την επανεμφάνισή του σχεδόν δύο χρόνια μετά την αποσυναρμολόγηση της υποδομής του botnet τον Απρίλιο του 2022.
Δείτε επίσης: Το RIG Exploit Kit εξακολουθεί να μολύνει εταιρικούς χρήστες μέσω του Internet Explorer
Σύμφωνα με ανάλυση που δημοσίευσε το Zscaler ThreatLabz αυτόν το μήνα, αναφέρεται ότι μια νέα παραλλαγή του κακόβουλου λογισμικού βρίσκεται υπό ανάπτυξη από τον Σεπτέμβριο του 2023. Οπως αναφέρεται σε ανάλυση που δημοσίευσε το Zscaler ThreatLabz αυτόν το μήνα, μια νέα παραλλαγή του κακόβουλου λογισμικού βρίσκεται υπό ανάπτυξη από τον Σεπτέμβριο του 2023.
Οι ερευνητές Santiago Vicente και Ismael Garcia Perez δήλωσαν ότι “η νέα έκδοση του Zloader έκανε σημαντικές αλλαγές στην ενότητα φόρτωσης, προσθέτοντας κρυπτογράφηση RSA, ενημέρωση του αλγορίθμου παραγωγής τομέα και πρώτη φορά μεταγλωττισμένο για λειτουργικά συστήματα Windows 64-bit.“
Το ZLoader, επίσης γνωστό ως Terdot, DELoader ή Silent Night, είναι ένα παράγωγο του Zeus banking trojan που εμφανίστηκε για πρώτη φορά το 2015, πριν μετατραπεί σε ένα φορτωτή για επόμενες αποστολές, συμπεριλαμβανομένων των ransomware.
Συνήθως διανέμεται μέσω απάτης με ηλεκτρονικά μηνύματα (phishing emails) και κακόβουλων διαφημίσεων στις μηχανές αναζήτησης. Το ZLoader υπέστη ένα τεράστιο χτύπημα όταν μια ομάδα εταιρειών υπό την ηγεσία της Digital Crimes Unit (DCU) της Microsoft απέκτησε τον έλεγχο 65 domain που χρησιμοποιούνταν για τον έλεγχο και την επικοινωνία με τους μολυσμένους υπολογιστές.
Οι πιο πρόσφατες εκδόσεις του κακόβουλου λογισμικού, που ανιχνεύονται ως 2.1.6.0 και 2.1.7.0, περιλαμβάνουν κώδικα αχρήστης πληροφορίας και απόκρυψη συμβολοσειρών για να αντισταθούν στις προσπάθειες ανάλυσης. Κάθε αντικείμενο ZLoader αναμένεται επίσης να έχει ένα συγκεκριμένο όνομα αρχείου για να εκτελεστεί στον υποβαλλόμενο σε κίνδυνο υπολογιστή.
Δείτε ακόμα: Το νέο JinxLoader διανέμει τα Formbook και XLoader malware
Οι ερευνητές παρατήρησαν ότι αυτό μπορεί να αποφεύγει τα sandbox κακόβουλου λογισμικού που μετονομάζουν τα αρχεία δειγμάτων.
Πέρα από την κρυπτογράφηση της στατικής διαμόρφωσης με χρήση του RC4, με έναν hardcoded αλφαριθμητικό κλειδί για να αποκρύψει πληροφορίες σχετικά με το όνομα της καμπάνιας και τους διακομιστές ελέγχου και εντολών (C2), έχει παρατηρηθεί ότι ο κακόβουλος κώδικας βασίζεται σε μια ενημερωμένη έκδοση του αλγορίθμου γεννήτριας ονομάτων τομέα ως μέτρο αντίδρασης στην περίπτωση που οι κύριοι διακομιστές C2 είναι μη προσβάσιμοι.
Η εφεδρική μέθοδος επικοινωνίας παρατηρήθηκε για πρώτη φορά στην έκδοση 1.1.22.0 του ZLoader, η οποία διαδόθηκε ως μέρος καμπανιών απάτης που ανιχνεύτηκαν τον Μάρτιο του 2020.
Η εξέλιξη έρχεται καθώς η Red Canary προειδοποίησε για αύξηση του όγκου καμπανιών που εκμεταλλεύονται αρχεία MSIX για τη διάδοση κακόβουλου λογισμικού, όπως το NetSupport RAT, το ZLoader και το FakeBat (επίσης γνωστό ως EugenLoader), από τον Ιούλιο του 2023, προκειμένου να αναγκάσει τη Microsoft να απενεργοποιήσει τον χειριστή πρωτοκόλλου από προεπιλογή στα τέλη Δεκεμβρίου του 2023.
Επίσης, παρατηρείται η εμφάνιση νέων οικογενειών κακόβουλου λογισμικού κλέφτη, όπως το Rage Stealer και το Monster Stealer, τα οποία χρησιμοποιούνται ως διέξοδος για την κλοπή πληροφοριών και ως αφετηρία για πιο σοβαρές κυβερνοεπιθέσεις.
Δείτε επίσης: Το AsyncRAT malware στοχεύει αμερικανικές υποδομές
Πώς μπορεί κάποιος να προστατευτεί από τους Remote Access Trojans;
Ο πρώτος και πιο σημαντικός τρόπος για να προστατευτεί κάποιος από τους Remote Access Trojans είναι η χρήση ενός αξιόπιστου λογισμικού ασφαλείας. Αυτό πρέπει να περιλαμβάνει ένα ισχυρό antivirus και ένα τείχος προστασίας που θα εμποδίζει την είσοδο των Trojans στο σύστημά σας.
Δεύτερον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλες τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να κλείσουν τις τρύπες που εκμεταλλεύονται οι επιτηθέμενοι.
Τρίτον, πρέπει να είστε προσεκτικοί με τα email και τα συνημμένα που λαμβάνετε. Πολλά Trojans διαδίδονται μέσω φαινομενικά ακίνδυνων email που περιέχουν συνημμένα ή συνδέσμους.
Τέλος, είναι σημαντικό να είστε προσεκτικοί όταν κατεβάζετε αρχεία από το διαδίκτυο. Πάντα να ελέγχετε την πηγή του αρχείου και να αποφεύγετε τη λήψη αρχείων από αναξιόπιστες πηγές.
Πηγή: thehackernews
