Οι δημιουργοί του κακόβουλου λογισμικού (malware) ZLoader έχουν ενσωματώσει μια δυνατότητα που είχε αρχικά εμφανιστεί στο Zeus Banking Trojan για τραπεζικές συναλλαγές.
“Η τελευταία έκδοση, 2.4.1.0, προσθέτει μια δυνατότητα που εμποδίζει την εκτέλεση του προγράμματος σε συστήματα διαφορετικά από εκείνο στο οποίο έγινε αρχικά η μόλυνση,” όπως ανέφερε ο ερευνητής του Zscaler ThreatLabz, Santiago Vicente.
Διαβάστε περισσότερα: Brokewell: Ένα νέο επικίνδυνο Android banking trojan
“Ένα ανάλογο χαρακτηριστικό για την αποφυγή ανάλυσης υπήρχε ήδη στον κώδικα του ZeuS 2.X που είχε διαρρεύσει στο παρελθόν, ωστόσο, το εν λόγω χαρακτηριστικό έχει εφαρμοστεί με διαφορετικό τρόπο.”
Το ZLoader, που ονομάζεται επίσης Terdot, DELoader ή Silent Night, εμφανίστηκε μετά από σχεδόν δύο χρόνια παύσης γύρω στον Σεπτέμβριο του 2023 μετά την κατάργησή του στις αρχές του 2022.
Οι τελευταίες εκδόσεις αυτού του κακόβουλου προηγμένου trojan με τη δυνατότητα να φορτώνει πολύπλοκα φορτία επόμενου σταδίου, έχουν ενσωματώσει κρυπτογράφηση RSA και έχουν βελτιώσει τον αλγόριθμο δημιουργίας δυναμικών τομέων (DGA).
Η πιο πρόσφατη εξέλιξη του ZLoader παρουσιάζεται μέσω μιας καινοτόμου anti-analysis λειτουργίας, η οποία περιορίζει την εκτέλεση του δυαδικού αρχείου αποκλειστικά στη μολυσμένη συσκευή.
Η λειτουργία αυτή, διαθέσιμη σε εκδόσεις λογισμικού νεότερες της 2.4.1.0, προκαλεί την άμεση διακοπή λειτουργίας κακόβουλου λογισμικού όταν αυτό αντιγραφεί και εκτελεστεί σε διαφορετικό σύστημα μετά την πρώτη μόλυνση. Αυτό επιτυγχάνεται μέσω του ελέγχου ενός συγκεκριμένου κλειδιού και τιμής στο μητρώο των Windows.
“Η δημιουργία του κλειδιού μητρώου και της αντίστοιχης τιμής βασίζεται σε έναν μοναδικό και συγκεκριμένο κωδικό, ο οποίος είναι διαφορετικός σε κάθε δείγμα,” δήλωσε ο Vicente.
Σε περίπτωση που το ζεύγος κλειδιού/τιμής στο μητρώο δημιουργηθεί χειροκίνητα (ή εφόσον ο σχετικός έλεγχος διορθωθεί), το ZLoader θα ενσωματωθεί με επιτυχία σε μια νέα διαδικασία. Ωστόσο, θα τερματιστεί αμέσως μετά από την εκτέλεση μερικών εντολών. Αυτή η συμπεριφορά αποδίδεται σε έναν δευτερεύον έλεγχο, τον έλεγχο της εισόδου της Κεφαλίδας MZ του ZLoader.
Αυτό σημαίνει, ότι η λειτουργία του ZLoader θα διακοπεί σε οποιοδήποτε άλλο σύστημα, εκτός αν έχουν γίνει οι σωστές ρυθμίσεις στις τιμές της κεφαλίδας και του MZ, και εφόσον έχουν αντιγραφεί επακριβώς όλες οι διαδρομές, τα ονόματα μητρώου και δίσκου από το αρχικώς επιτεθειμένο σύστημα.
Δείτε επίσης: ZLoader: Νέα παραλλαγή του κακόβουλου λογισμικού συμβατότητή με 64-bit Windows
Ο Zscaler είπε ότι η τεχνική που χρησιμοποιείται από το Zloader για την αποθήκευση των πληροφοριών εγκατάστασης και την αποφυγή εκτέλεσης σε ξένους υπολογιστές, παρουσιάζει ομοιότητες με την έκδοση 2.0.8 του ZeuS. Υλοποιήθηκε με μια διαφορετική προσέγγιση, χρησιμοποιώντας μια δομή δεδομένων με την ονομασία PeSettings για την αποθήκευση ρυθμίσεων, αντί να πραγματοποιήσει εγγραφή.
«Στις τελευταίες εκδόσεις του, το ZLoader έχει εφαρμόσει μια πιο μυστική μέθοδο για να μολύνει τα συστήματα», δήλωσε ο Vicente. “Η εισαγωγή αυτής της νέας anti-analysis τεχνικής καθιστά το ZLoader πιο απρόσιτο προς ανίχνευση και ανάλυση.”
Αυτή η πρακτική παρατηρείται καθώς επιτήδειοι χρησιμοποιούν με κακόβουλες προθέσεις ιστοσελίδες, οι οποίες φιλοξενούνται σε δημοφιλείς και νόμιμες πλατφόρμες όπως το Weebly, προκειμένου να διαδώσουν κακόβουλο λογισμικό και να κλέψουν δεδομένα και επιτυγχάνουν τον σκοπό τους μέσω τεχνικών βελτιστοποίησης για μηχανές αναζήτησης (SEO).
“Καταφέρνουν να θέσουν τον παραπλανητικό ιστότοπό τους στις πρώτες θέσεις των αποτελεσμάτων αναζήτησης ενός χρήστη, αυξάνοντας έτσι τις πιθανότητες της αθέμιτης επιλογής ενός κακόβουλου ιστότοπου και την ενδεχόμενη μόλυνση του συστήματος τους με κακόβουλο λογισμικό,” τόνισε η ερευνήτρια του Zscaler, Kaivalya Khursale.
Ένα σημαντικό χαρακτηριστικό αυτών των εκστρατειών είναι η μόλυνση που ενεργοποιείται κατά τη φάση της παράδοσης του ωφέλιμου φορτίου μόνο όταν η επίσκεψη γίνεται μέσω μηχανών αναζήτησης όπως Google, Bing, DuckDuckGo, Yahoo ή AOL, και δεν πραγματοποιείται απευθείας πρόσβαση στους επικίνδυνους ιστότοπους.
Διαβάστε επίσης: Το Vultur trojan στοχεύει Android συσκευές
Τα τελευταία δύο μήνες, παρατηρήθηκαν έντονες εκστρατείες email phishing που στόχευσαν οργανισμούς σε ΗΠΑ, Τουρκία, Μαυρίκιο, Ισραήλ, Ρωσία και Κροατία, χρησιμοποιώντας το κακόβουλο λογισμικό Taskun. Το συγκεκριμένο λογισμικό λειτουργεί ως έξτρα μηχανισμός για το Agent Tesla, όπως διαπίστωσε η Veriti.
Πηγή: thehackernews
 ZLoader έχουν ενσωματώσει μια δυνατότητα που είχε αρχικά εμφανιστεί στο Zeus Banking Trojan για τραπεζικές συναλλαγές.){kind=link}