Il malware ZLoader è tornato con una nuova variante che utilizza il tunneling DNS per mascherare le comunicazioni con il suo server di comando e controllo (C2), rendendo più difficile il rilevamento. Questo aggiornamento evidenzia come i cybercriminali continuino a sviluppare ZLoader, un malware noto per il suo utilizzo in attacchi ransomware. Secondo un recente rapporto, la versione 2.9.4.0 di ZLoader include un protocollo di tunneling DNS personalizzato e una shell interattiva che supporta oltre una dozzina di comandi. Questi miglioramenti offrono ulteriori livelli di resistenza contro il rilevamento e la mitigazione.

ZLoader: caratteristiche e sviluppo

ZLoader, noto anche come Terdot, DELoader o Silent Night, è un loader di malware progettato per distribuire payload di fase successiva. Campagne malware che distribuiscono ZLoader sono state osservate per la prima volta in quasi due anni nel settembre 2023, dopo che la sua infrastruttura era stata smantellata. Il malware incorpora diverse tecniche per resistere agli sforzi di analisi, utilizzando un algoritmo di generazione di domini (DGA) e adottando misure per evitare l'esecuzione su host che differiscono dall'infezione originale, una tecnica vista anche nel trojan bancario Zeus su cui si basa.

Associazione con ransomware e tecniche di distribuzione

Negli ultimi mesi, la distribuzione di ZLoader è stata sempre più associata agli attacchi ransomware Black Basta. Gli attori delle minacce utilizzano connessioni desktop remote per distribuire il malware sotto la falsa premessa di risolvere un problema di supporto tecnico. È stato scoperto un ulteriore componente nella catena di attacco che prevede il dispiegamento di un payload chiamato GhostSocks, utilizzato per rilasciare ZLoader. Le tecniche anti-analisi di ZLoader, come i controlli dell'ambiente e gli algoritmi di risoluzione delle importazioni API, continuano a essere aggiornate per eludere le sandbox malware e le firme statiche.

Nuove funzionalità e capacità

Una nuova funzionalità introdotta nell'ultima versione del malware è una shell interattiva che consente all'operatore di eseguire binari arbitrari, DLL e shellcode, esfiltrare dati e terminare processi. Sebbene ZLoader continui a utilizzare HTTPS con richieste POST come canale principale di comunicazione C2, è dotato anche di una funzione di tunneling DNS per facilitare il traffico di rete TLS crittografato utilizzando pacchetti DNS.

Obiettivi del gruppo di minaccia

I metodi di distribuzione di ZLoader e un nuovo canale di comunicazione di tunneling DNS suggeriscono che il gruppo di minaccia si stia concentrando sempre più sull'evitare il rilevamento. Il gruppo continua ad aggiungere nuove funzionalità e capacità per servire più efficacemente come broker di accesso iniziale per ransomware.