Phần mềm độc hại ZLoader phát triển với thủ thuật chống phân tích từ Zeus Trojan

   Các tác giả đằng sau phần mềm độc hại   ZLoader   nổi lên đã thêm một tính năng ban đầu có trong trojan ngân hàng Zeus mà nó dựa trên, cho thấy rằng nó đang được phát triển tích cực. "Phiên bản mới nhất, 2.4.1.0, giới thiệu một tính năng để ngăn chặn việc thực thi trên các máy khác với nhiễm trùng ban đầu", nhà nghiên cứu Santiago Vicente của Zscaler ThreatLabz  cho biết  trong một báo cáo kỹ thuật. "Một tính năng chống phân tích tương tự đã có mặt trong mã nguồn Zeus 2.X bị rò rỉ, nhưng được triển khai khác nhau." ZLoader, còn được gọi là Terdot, DELoader hoặc Silent Night,  nổi lên  sau gần hai năm gián đoạn vào khoảng tháng 9/2023 sau khi bị gỡ xuống vào đầu năm 2022. Một trojan mô-đun với khả năng tải trọng giai đoạn tiếp theo, các phiên bản gần đây của phần mềm độc hại đã thêm mã hóa RSA cũng như cập nhật thuật toán tạo miền (DGA) của nó. Dấu hiệu mới nhất về sự tiến hóa của ZLoader xuất hiện dưới dạng tính năng chống phân tích hạn chế việc thực thi nhị phân đối với máy bị nhiễm. Tính năng này, hiện diện trong các thành phần lạ có phiên bản lớn hơn 2.4.1.0, khiến phần mềm độc hại đột ngột chấm dứt nếu chúng được sao chép và thực thi trên một hệ thống khác sau khi bị nhiễm ban đầu. Điều này được thực hiện bằng cách kiểm tra Windows Registry cho một khóa và giá trị cụ thể. "Khóa và giá trị Registry được tạo ra dựa trên một hạt giống được mã hóa cứng khác nhau cho mỗi mẫu", Vicente nói. "Nếu cặp khóa/giá trị Registry được tạo thủ công (hoặc kiểm tra này được vá), ZLoader sẽ tự tiêm thành công vào một quy trình mới. Tuy nhiên, nó sẽ chấm dứt một lần nữa sau khi thực hiện chỉ một vài hướng dẫn. Điều này là do một kiểm tra phụ trong tiêu đề MZ của ZLoader. Điều này có nghĩa là việc thực thi ZLoader sẽ bị đình trệ trong một máy khác trừ khi các giá trị tiêu đề hạt giống và MZ được đặt chính xác và tất cả các đường dẫn / tên Registry và đĩa từ hệ thống bị xâm nhập ban đầu được sao chép. Zscaler cho biết kỹ thuật được Zloader sử dụng để lưu trữ thông tin cài đặt và tránh chạy trên một máy chủ khác có những điểm tương đồng với Zeus phiên bản 2.0.8, mặc dù được triển khai theo cách khác, dựa trên cấu trúc dữ liệu có tên  PeSettings  để  lưu trữ cấu hình  thay vì Registry. "Trong các phiên bản gần đây, ZLoader đã áp dụng cách tiếp cận lén lút đối với việc lây nhiễm hệ thống", Vicente nói. "Kỹ thuật chống phân tích mới này làm cho ZLoader thậm chí còn khó khăn hơn để phát hiện và phân tích." Sự phát triển này diễn ra khi các tác nhân đe dọa đang sử dụng các trang web lừa đảo được lưu trữ trên các nền tảng hợp pháp phổ biến như Weebly để phát tán phần mềm độc hại ăn cắp và đánh cắp dữ liệu thông qua các kỹ thuật tối ưu hóa công cụ tìm kiếm mũ đen (SEO). Một khía cạnh đáng chú ý của các chiến dịch này là sự lây nhiễm chỉ tiến tới giai đoạn phân phối tải trọng nếu lượt truy cập bắt nguồn từ các công cụ tìm kiếm như Google, Bing, DuckDuckGo, Yahoo hoặc AOL và nếu các trang web không có thật không được truy cập trực tiếp. Trong hai tháng qua, các chiến dịch lừa đảo dựa trên email cũng đã được quan sát nhắm mục tiêu vào các tổ chức ở Mỹ, Thổ Nhĩ Kỳ, Mauritius, Israel, Nga và Croatia bằng  phần mềm độc hại Taskun , hoạt động như một người hỗ trợ cho Đặc vụ Tesla, theo  phát hiện  từ Veriti.