El malware ZLoader evoluciona con truco anti-análisis del troyano bancario Zeus

La versión más reciente del malware ZLoader, la 2.4.1.0, incluye una nueva función para evitar su ejecución en máquinas distintas a la originalmente infectada. Estos descubrimientos provienen del laboratorio de amenazas de Zscaler, liderado por el investigador Santiago Vicente. Se ha observado este tipo de función en el pasado en el código fuente de ZeuS 2.X.

ZLoader, también conocido como Terdot, DELoader o Silent Night, ha resurgido después de casi dos años de inactividad, alrededor de septiembre de 2023, tras haber sido desmantelado a principios de 2022.

Este troyano modular tiene la capacidad de cargar cargas útiles de la siguiente etapa y las versiones más recientes del malware han incorporado cifrado RSA, así como actualizaciones a su algoritmo de generación de dominio (DGA).

La última señal de evolución de ZLoader se refleja en la inclusión de una función anti-análisis que restringe la ejecución del malware al equipo originalmente infectado.

Esta función, que se encuentra en artefactos con versiones superiores a 2.4.1.0, ocasionará la detención del malware si se copia y ejecuta en otro sistema después de la infección inicial. Esto se realiza verificando el Registro de Windows en busca de una clave y valor específicos.

«La clave y el valor del Registro se generan en función de una semilla incrustada que es diferente para cada muestra», mencionó Vicente.

Las técnicas implementadas por ZLoader para almacenar información de instalación y evitar ejecuciones en un host diferente son comparables a ZeuS versión 2.0.8, que se basaba en una estructura de datos llamada PeSettings. En versiones recientes, ZLoader ha adoptado un enfoque más sigiloso, lo que lo hace aún más difícil de detectar y analizar.

Este desarrollo está en línea con el uso de fraudulentas páginas web alojadas en plataformas legítimas populares para propagar malware Stealer y robar datos mediante técnicas de SEO de sombrero negro.

Se observaron campañas de phishing basadas en correo electrónico dirigidas a organizaciones en EE. UU., Turquía, Mauricio, Israel, Rusia y Croacia con el malware Taskun, que actúa como facilitador para Agent Tesla, según hallazgos de Veriti.

Vía The Hacker News