活死人的攻击:恶意软件 ZLoader 复活

阅读量47790

发布时间 : 2024-02-01 10:46:14

RSA 加密和更新的域生成算法仔细地掩盖了恶意软件的活动。

网络安全专家发现了一种传播 ZLoader 恶意软件的新活动。值得注意的是,这发生在该僵尸网络的基础设施于 2022 年 4 月拆除之后近两年。

据Zscaler称 ,新 ZLoader 变体的开发自 2023 年 9 月以来一直在进行。研究人员 Santiago Vicente 和 Ismael Garcia Perez 表示:“新版本的 ZLoader 对启动模块进行了重大更改:添加了RSA加密、更新了域名生成算法,并首次编译了针对 64 位Windows操作系统的版本。” 。

ZLoader,也称为 Terdot、DELoader 或 Silent Night,是 2015 年首次出现的 Zeus 银行木马的衍生品。该恶意软件充当其他恶意软件(包括勒索软件)的下载程序。

通常,ZLoader 通过网络钓鱼电子邮件和搜索引擎上的恶意广告进行分发。2022 年,微软的网络犯罪部门与其他公司合作, 控制 了 65 个用于管理受感染主机并与其通信的域。这对 ZLoader 基础设施造成了严重打击。

尽管如此,恶意软件的开发仍在继续。ZLoader 的最新版本(追踪为 2.1.6.0 和 2.1.7.0)包含许多反解析技术。特别是,垃圾代码和字符串混淆被用来阻碍恶意软件检测系统。

此外,每个 ZLoader 实例必须具有特定的文件名才能在受感染的主机上执行。也就是说,如果您重命名恶意文件,它将不会显示恶意活动。研究人员指出:“这可以绕过恶意软件分析沙箱,从而重命名正在调查的样本文件。”

为了隐藏有关活动名称、控制服务器和其他数据的关键信息,使用带有硬编码字母数字密钥的 RC4加密。

此外,如果主要命令和控制服务器不可用,则使用更新版本的域生成算法作为与僵尸网络通信的备份措施。该机制首次在 ZLoader 版本 1.1.22.0 中发现,该版本于 2020 年 3 月作为网络钓鱼活动的一部分进行分发。

研究人员表示,ZLoader 重返“网络竞技场”构成了严重的危险:“Zloader 多年来一直是一个重大威胁,它的复苏可能会导致新一波勒索软件攻击。”

因此,新的 ZLoader 活动构成了严重威胁,需要公司和用户的密切关注。有必要采取措施及时检测这种威胁和其他当前的网络威胁,以尽量减少可能的攻击带来的风险和损害。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66