Исследователи из Zscaler опубликовали отчет об эволюции ZLoader, модульного банковского трояна, и его новых тактиках уклонения.
ZLoader, также известный как Terdot, DELoader или Silent Night, - это модульный троян, полученный из утечки исходного кода ZeuS. После почти двухлетнего отсутствия ZLoader появился в сентябре 2023 года с новой версией, содержащей изменения в методах обфускации, алгоритме генерации доменов (DGA) и сетевом взаимодействии. Недавно в ней вновь появился механизм защиты от анализа, напоминающий оригинальный код ZeuS 2.x. Эта функция ограничивает выполнение бинарных файлов ZLoader инфицированной системой, от чего до недавнего времени отказывались многие штаммы вредоносного ПО, полученные из утечки исходного кода.
- Zloader (он же Terdot, DELoader или Silent Night) - модульный троян, основанный на утечке исходного кода ZeuS в 2015 году.
- Zloader продолжает развиваться с момента своего возрождения в сентябре 2023 года после почти двухлетнего перерыва.
- В последней версии, 2.4.1.0, появилась функция, предотвращающая выполнение на машинах, отличающихся от исходного заражения. Аналогичная функция защиты от анализа присутствовала в просочившемся исходном коде ZeuS 2.X, но была реализована иначе.
Indicators of Compromise
URLs
- https://adslsdfdsfmo.world/
- https://citscale.com/api.php
- https://eingangfurkunden.digital/
- https://gycltda.cl/home/wp-api.php
SHA256
- 85962530c71cd31c102853d64a8829f93b63bd1406bdec537b9d8c200f8f0bcc
- 85b1a980eb8ced59f87cb5dd7702e15d6ca38441c4848698d140ffd37d2b55e6
- b1a6bf93d4ee659db03e51a3765d4d3c2ee3f1b56bd9b701ab5939d63f57d9ee
- cba9578875a3e222d502bb6a85898939bb9e8e247d30fcc0d44d83a64919f448