Peneliti keamanan siber telah menemukan versi baru dari ZLoader malware yang menggunakan terowongan Sistem Nama Domain (DNS) untuk komunikasi perintah dan kontrol (C2), yang menunjukkan bahwa pelaku ancaman terus menyempurnakan alat tersebut setelah muncul kembali setahun yang lalu.
“Zloader 2.9.4.0 menambahkan peningkatan penting termasuk protokol terowongan DNS khusus untuk komunikasi C2 dan shell interaktif yang mendukung lebih dari selusin perintah, yang mungkin berguna untuk serangan ransomware,” kata Zscaler ThreatLabz dalam laporan hari Selasa. “Modifikasi ini memberikan lapisan ketahanan tambahan terhadap deteksi dan mitigasi.”
ZLoader, juga disebut sebagai Terdot, DELoader, atau Silent Night, adalah pemuat malware yang dilengkapi dengan kemampuan untuk menyebarkan muatan tahap berikutnya. Kampanye malware yang mendistribusikan malware tersebut diamati untuk pertama kalinya dalam hampir dua tahun pada bulan September 2023 setelah infrastrukturnya dihancurkan.
Selain menggabungkan berbagai teknik untuk menolak upaya analisis, malware tersebut juga diketahui menggunakan algoritma pembuatan domain (DGA) dan mengambil langkah-langkah untuk menghindari dijalankan pada host yang berbeda dari infeksi aslinya, sebuah teknik yang juga terlihat di Zeus. trojan perbankan yang menjadi dasarnya.
Dalam beberapa bulan terakhir, distribusi ZLoader semakin dikaitkan dengan serangan ransomware Black Basta, dengan pelaku ancaman menyebarkan malware melalui koneksi desktop jarak jauh yang dibuat dengan kedok untuk memperbaiki masalah dukungan teknis.
Perusahaan keamanan siber tersebut mengatakan mereka menemukan komponen tambahan dalam rantai serangan yang pertama-tama melibatkan penyebaran muatan yang disebut GhostSocks, yang kemudian digunakan untuk menjatuhkan ZLoader.
“Teknik anti-analisis Zloader seperti pemeriksaan lingkungan dan algoritme resolusi impor API terus diperbarui untuk menghindari kotak pasir malware dan tanda tangan statis,” kata Zscaler.
Fitur baru yang diperkenalkan pada versi terbaru malware ini adalah shell interaktif yang memungkinkan operator mengeksekusi binari, DLL, dan kode shell sewenang-wenang, mengeksfiltrasi data, dan menghentikan proses.
Meskipun Zloader terus menggunakan HTTPS dengan permintaan POST sebagai saluran komunikasi C2 utama, Zloader juga dilengkapi dengan fitur terowongan DNS untuk memfasilitasi lalu lintas jaringan TLS terenkripsi menggunakan paket DNS.
“Metode distribusi Zloader dan saluran komunikasi terowongan DNS baru menunjukkan bahwa kelompok tersebut semakin fokus untuk menghindari deteksi,” kata perusahaan itu. “Kelompok ancaman terus menambahkan fitur dan fungsi baru agar lebih efektif berfungsi sebagai broker akses awal untuk ransomware.”
