Yeni ZLoader Kötü Amaçlı Yazılım Varyantı 64 bit Windows Uyumluluğuyla Ortaya Çıkıyor
Tehdit avcıları, botnet'in altyapısının Nisan 2022'de sökülmesinden yaklaşık iki yıl sonra yeniden ortaya çıkan ZLoader kötü amaçlı yazılımını dağıtan yeni bir kampanya belirledi.
Zscaler ThreatLabz, bu ay yayınlanan bir analizde, kötü amaçlı yazılımın yeni bir varyantının Eylül 2023'ten beri geliştirilmekte olduğu söyleniyor.
Araştırmacılar Santiago Vicente ve Ismael Garcia Perez, "ZLoader'ın yeni sürümü, RSA şifrelemesi ekleyen, etki alanı oluşturma algoritmasını güncelleyen ve şimdi ilk kez 64 bit Windows işletim sistemleri için derlenen yükleyici modülünde önemli değişiklikler yaptı" dedi.
Terdot, DELoader veya Silent Night adlarıyla da bilinen ZLoader, fidye yazılımı da dahil olmak üzere bir sonraki aşama yükleri için bir yükleyici olarak işlev görmeden önce ilk olarak 2015 yılında ortaya çıkan Zeus bankacılık truva atının bir dalıdır.
Tipik olarak kimlik avı e-postaları ve kötü amaçlı arama motoru reklamları aracılığıyla dağıtılan ZLoader, Microsoft'un Dijital Suçlar Birimi (DCU) liderliğindeki bir grup şirketin, virüslü ana bilgisayarları kontrol etmek ve onlarla iletişim kurmak için kullanılan 65 etki alanının kontrolünü ele geçirmesinin ardından büyük bir darbe aldı.
Kötü amaçlı yazılımın 2.1.6.0 ve 2.1.7.0 olarak izlenen en son sürümleri, analiz çabalarına direnmek için gereksiz kod ve dize gizleme içerir. Her ZLoader eserinin, güvenliği ihlal edilmiş ana bilgisayarda yürütülmesi için belirli bir dosya adına sahip olması da beklenir.
Araştırmacılar, "Bu, örnek dosyaları yeniden adlandıran kötü amaçlı yazılım sanal alanlarından kaçınabilir" dedi.
Kötü amaçlı yazılımın, kampanya adı ve komuta ve kontrol (C2) sunucularıyla ilgili bilgileri gizlemek için RC4 kullanarak statik yapılandırmayı sabit kodlanmış bir alfasayısal anahtarla şifrelemeye ek olarak, birincil C2 sunucularına erişilememesi durumunda yedek önlem olarak etki alanı oluşturma algoritmasının güncellenmiş bir sürümüne güvendiği gözlemlendi.
Yedekleme iletişim yöntemi ilk olarak Mart 2020'de tespit edilen kimlik avı kampanyalarının bir parçası olarak yayılan ZLoader sürüm 1.1.22.0'da keşfedildi.
Araştırmacılar, "Zloader uzun yıllar boyunca önemli bir tehditti ve geri dönüşü muhtemelen yeni fidye yazılımı saldırılarıyla sonuçlanacak" dedi. "Operasyonel yayından kaldırma, faaliyeti geçici olarak durdurdu, ancak arkasındaki tehdit grubunu durdurmadı."
Gelişme, Red Canary'nin Temmuz 2023'ten bu yana NetSupport RAT, ZLoader ve FakeBat (diğer adıyla EugenLoader) gibi kötü amaçlı yazılımları dağıtmak için MSIX dosyalarından yararlanan kampanyaların hacminde bir artış olduğu konusunda uyarması ve Microsoft'un Aralık 2023'ün sonlarında protokol işleyicisini varsayılan olarak devre dışı bırakmasını istemesiyle geldi.
Ayrıca, bilgi hırsızlığı için ilk erişim yolu ve daha ciddi siber saldırılar için bir fırlatma rampası olarak kullanılan Rage Stealer ve Monster Stealer gibi yeni hırsız kötü amaçlı yazılım ailelerinin ortaya çıkışını da takip ediyor.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı