Pesquisadores de cibersegurança identificaram uma nova versão do malware, que utiliza um túnel de Domain Name System (DNS) para comunicações de command-and-control (C2). Isso indica que os agentes de ameaça estão refinando a ferramenta após seu ressurgimento há um ano.
"O ZLoader 2.9.4.0 traz melhorias notáveis, incluindo um protocolo de túnel DNS personalizado para comunicações C2 e um shell interativo que suporta mais de uma dúzia de comandos, o que é valioso para ataques ransomware, e essas modificações fornecem camadas adicionais de resiliência contra detecção e mitigação." afirma o Zscaler ThreatLabz.
CIBERSEGURANÇA
O Malware, também conhecido como Terdot, DELoader ou Silent Night, é projetado para implantar next-stage payloads e campanhas que distribuem o ZLoader foram observadas pela primeira vez a mais de 2 anos, após a infraestrutura do malware ter sido desativada.
Além de incorporar várias técnicas para resistir à análise, o malware utiliza um algoritmo de geração de domínios (DGA) e adota medidas para evitar ser executado em hosts diferentes do original, uma técnica também encontrada no trojan bancário Zeus, no qual tem similaridade.
TÚNEL DNS
Nos últimos meses, a distribuição do ZLoader tem sido associada a ataques ransomware Black Basta. Esses agentes semeiam o malware por meio de conexões remotas sob o pretexto de resolver problemas de suporte técnico.
A empresa de cibersegurança, revelou um componente adicional na cadeia de ataques, que se inicia no carregamento do GhostSocks, e que posteriormente instala o ZLoader.
ATAQUE SOFISTICADO
"As técnicas de anti-análise do ZLoader, como verificações de ambiente e algoritmos de resolução de importação de APIs, continuam a ser atualizadas para evitar sandboxes de malware e assinaturas estáticas," disse a Zscaler ThreatLabz.
Uma nova funcionalidade introduzida na versão mais recente do malware é um shell que permite ao operador executar binários, DLLs e códigos shell arbitrários, exfiltrar dados e encerrar processos. Embora o ZLoader continue usando HTTPS com solicitações POST como o principal canal de comunicação C2, este agora possui um recurso de túnel DNS que facilita o tráfego TLS usando pacotes DNS.
Os métodos de distribuição do ZLoader e uso de túnel DNS, sugerem que o grupo está se concentrando em evitar detecções e o grupo continua adicionando novos recursos e funcionalidades para ter sucesso em ataques ransomware.
Nossas soluções avançadas contra ameaças podem proteger sua empresa de métodos sofisticados como Zloader e milhares de outros métodos. Entre em contato conosco e sabia como proteger seu negócio.
Comentários