Los expertos en ciberseguridad han detectado una nueva campaña que distribuye el malware ZLoader, el cual ha resurgido casi dos años después de que se desmantelara la infraestructura de la botnet en abril de 2022.
Se ha estado desarrollando una nueva variante del malware desde septiembre de 2023, según un análisis publicado este mes por Zscaler ThreatLabz.
“La nueva versión de ZLoader realizó cambios significativos en el módulo de carga, que agregó cifrado RSA, actualizó el algoritmo de generación de dominio y ahora está compilado para sistemas operativos Windows de 64 bits por primera vez”, señalaron los investigadores Santiago Vicente e Ismael García Pérez.
ZLoader, también conocido como Terdot, DELoader o Silent Night, es una rama del troyano bancario Zeus que apareció por primera vez en 2015, antes de pasar a funcionar como un cargador para cargas útiles de la siguiente etapa, incluido el ransomware.
ZLoader, que generalmente se distribuye a través de correos electrónicos de phishing y anuncios maliciosos en motores de búsqueda, sufrió un duro golpe después de que un grupo de empresas lideradas por la Unidad de Delitos Digitales (DCU) de Microsoft tomó el control de 65 dominios que se utilizaban para controlar y comunicarse con los hosts infectados.
Las últimas versiones del malware, rastreadas como 2.1.6.0 y 2.1.7.0, incorporan código basura y ofuscación de cadenas para resistir los esfuerzos de análisis. También se espera que cada artefacto ZLoader tenga un nombre de archivo específico para ejecutarse en el host comprometido.
“Esto podría evadir los entornos limitados de malware que cambian el nombre de los archivos de muestra”, señalaron los investigadores.
Además de cifrar la configuración estática utilizando RC4 con una clave alfanumérica codificada para ocultar información relacionada con el nombre de la campaña y los servidores de comando y control (C2), se ha observado que el malware depende de una versión actualizada del algoritmo de generación de dominio como medida alternativa en caso de que los servidores C2 primarios sean inaccesibles.
El método de comunicación de respaldo se observó por primera vez en la versión 1.1.22.0 de ZLoader, que se propagó como parte de campañas de phishing detectadas en marzo de 2020.
“Zloader fue una amenaza importante durante muchos años y su regreso probablemente resultará en nuevos ataques de ransomware”, dijeron los investigadores. “El derribo operativo detuvo temporalmente la actividad, pero no el grupo de amenaza detrás de ella”
El desarrollo se produce cuando Red Canary advirtió sobre un aumento en el volumen de campañas que aprovechan archivos MSIX para entregar malware como NetSupport RAT, ZLoader y FakeBat (también conocido como EugenLoader), desde julio de 2023, lo que llevó a Microsoft a desactivar el controlador de protocolo de forma predeterminada en los últimos tiempos de diciembre de 2023.
También sigue la aparición de nuevas familias de malware ladrón, como Rage Stealer y Monster Stealer, que se utilizan como vía de acceso inicial para el robo de información y como plataforma de lanzamiento para ataques cibernéticos más graves.