Zloader, также известный как Terdot, DELoader или Silent Night, является модульным трояном, основанным на утечке исходного кода Zeus. Он был впервые обнаружен в 2016 году, когда была замечена целевая кампания против немецких банков. Однако его активность началась как минимум в августе 2015 года. Изначально Zloader был активен до начала 2018 года, но затем его вредоносная активность резко прекратилась.
В конце 2019 года Zloader возродился и начал продвигаться на подпольных форумах под названием "Тихая ночь". Этот новый виток деятельности был связан с значительными изменениями. Постепенно Zloader продолжал эволюционировать и достиг версии 2.0.0.0 примерно в сентябре 2021 года. Заключительным развитием для Zloader стало переход его угроз с банковского мошенничества к вымогательству, апофеозом чего стала операция по уничтожению ботнета в апреле 2022 года, вызвавшая длительный период бездействия.
После почти двухлетнего перерыва Zloader снова появился с новой итерацией, начавшей разрабатываться в сентябре 2023 года. В новой версии были внесены значительные изменения, такие как новые методы обфускации, обновленный алгоритм генерации доменов (DGA), шифрование RSA для сетевых соединений и встроенная поддержка 64-битных версий Windows. Хотя эта новая версия получила старый номер 2.0.0.0, за последние несколько месяцев были выпущены версии 2.1.6.0 и 2.1.7.0.
Одной из важных особенностей Zloader является использование различных методов для антианализа. Это включает хеширование импорта API, нежелательный код, проверку имен файлов и обфускацию строк. Zloader также обходит песочницы, ожидая выполнения с определенным именем файла, и использует алгоритм обфускации строк для важных данных вредоносной программы.
В заключение следует отметить, что Zloader продолжает развиваться и адаптироваться к противодействию со стороны исследователей и аналитиков безопасности. Вновь появившаяся версия трояна с новыми обновлениями демонстрирует его эволюцию и стремление сохранить свою активность. Zloader продолжает использовать методы, такие как антианализ и обфускация, чтобы затруднить процесс анализа и обнаружения вредоносного ПО.
Indicators of Compromise
URLs
- https://adslstickerhi.world
- https://adslstickerni.world
- https://dem.businessdeep.com
SHA256
- 038487af6226adef21a29f3d31baf3c809140fcb408191da8bc457b6721e3a55
- 16af920dd49010cf297b03a732749bb99cc34996f090cb1e4f16285f5b69ee7d
- 25c8f98b79cf0bfc00221a33d714fac51490d840d13ab9ba4f6751a58d55c78d
- 2cdb78330f90b9fb20b8fb1ef9179e2d9edfbbd144d522f541083b08f84cc456
- 83deff18d50843ee70ca9bfa8d473521fd6af885a6c925b56f63391aad3ee0f3
- 98dccaaa3d1efd240d201446373c6de09c06781c5c71d0f01f86b7192ec42eb2
- adbd0c7096a7373be82dd03df1aae61cb39e0a155c00bbb9c67abc01d48718aa
- b206695fb128857012fe280555a32bd389502a1b47c8974f4b405ab19921ac93
- b47e4b62b956730815518c691fcd16c48d352fca14c711a8403308de9b7c1378
- d92286543a9e04b70525b72885e2983381c6f3c68c5fc64ec1e9695567fb090d
- eb4b412b4fc58ce2f134cac7ec30bd5694a3093939d129935fe5c65f27ce9499
- f03b9dce7b701d874ba95293c9274782fceb85d55b276fd28a67b9e419114fdb
- f6d8306522f26544cd8f73c649e03cce0268466be27fe6cc45c67cc1a4bdc1b8
- fa4b2019d7bf5560b88ae9ab3b3deb96162037c2ed8b9e17ea008b0c97611616
- fbd60fffb5d161e051daa3e7d65c0ad5f589687e92e43329c5c4c950f58fbb75