Nova verzija ZLoader zlonamjernog softvera

ZLoader, ozloglašeni bankarski trojanac, vratio se krajem 2023. godine nakon pauze od skoro dvije godine, pokazuje istraživanje kompanije Zscaler. Poznat po svojim sofisticiranim tehnikama zamagljivanja i mogućnostima mrežne komunikacije, ovaj zlonamjerni softver nastavlja da predstavlja značajnu prijetnju organizacijama širom sveta. U nastavku će biti riječi o najnovijim dešavanjima u vezi sa ZLoader zlonamjernim softverom i o njegovoj evoluciji.

Nova verzija ZLoader zlonamjernog softvera; Source: Bing Image Creator

ZLOADER

ZLoader je vrsta zlonamjernog softvera koji postoji najmanje od početka 2022. godine, ali se ponovo pojavio oko septembra 2023. godine nakon što je uklonjen. Poznat je još i pod nazivima Terdot, DELoader i Silent Night, on je modularni trojanac, što znači da može učitati korisne terete sljedeće faze kada zarazi sistem. Ovi korisni sadržaji mogu uključivati različite vrste zlonamjernog softvera, kao što su ransomware ili drugi trojanci. Zlonamjerni softver takođe može da ukrade osjetljive informacije iz zaraženih sistema i pošalje ih nazad na servere napadača. Najnovije verzije ZLoader zlonamjernog softvera su dodale nekoliko novih funkcija kako bi poboljšale njegove mogućnosti i otežale otkrivanje i analizu.

Nova verzija

Jedan od najznačajnijih dodataka u novijim verzijama ZLoader zlonamjernog softvera je funkcija protiv analize koja ograničava izvršavanje binarne datoteke na zaraženu mašinu. To znači da ako se zlonamjerni softver kopira i izvrši na drugom sistemu, on će se naglo prekinuti. Ova karakteristika je prvobitno bila prisutna u drugom zlonamjernom softveru zvanom Zeus, na kojem je vjerovatno  ZLoader zasnovan.

“ZLoader je nastavio da se razvija od svog uskrsnuća oko septembra 2023. nakon skoro dvogodišnje pauze. Najnovija verzija, 2.4.1.0, uvodi funkciju za sprečavanje izvršenja na mašinama koje se razlikuju od originalne infekcije. Slična funkcija anti-analize bila je prisutna u izvornom kôdu Zeus 2.x koji je procurio, ali je drugačije implementiran.”

 – Zscaler –

Autori ZLoader zlonamjernog softvera su takođe implementirali tehniku izbjegavanja vezanu za početni proces infekcije. Konkretno, oni koriste dodatno MZ  zaglavlje DWORD  kao pokazivač na pomak početne vrijednosti. Ova provjera ne uspijeva ako je cio broj prevelik, što ukazuje da je početna vrijednost već napisana i eliminiše potrebu za ponovnom inicijalizacijom. Inicijalna binarna datoteka za infekciju sistema mora uključivati praznu početnu vrijednost sa MZ DWORD na 0x30 koji drži pomak početne vrijednosti. Nakon toga, ovaj pomak se inicijalizuje pseudo-slučajnim QWORD generisanim preko Mersenne Twister algoritma, ostavljajući čvrsto kodiranu početnu vrijednost koja se razlikuje po zaraženom uzorku.

Još jedna funkcija dodata ZLoader zlonamjernom softveru u novijim verzijama je RSA enkripcija. Ovo otežava sigurnosnim istraživačima i antivirusnom softveru obrnuti inženjering ili analizu kôda zlonamjernog softvera. Pored toga, izvršena su ažuriranja njegovog algoritma za generisanje domena (eng. domain generation algorithm – DGA), koji pomaže zlonamjernom softveru da komunicira sa svojim serverima za komandu i kontrolu generisanjem jedinstvenih domena za koje je manje vjerovatno da će biti blokirani bezbjednosnim mjerama.

ZAKLJUČAK

ZLoader zlonamjerni softver je modularni trojanac koji je evoluirao od svog uskrsnuća u septembru 2023. nakon nakon pauze. Zasnovan je na izvornom kôdu bankovnog trojanca Zeus koji je procurio i dodao je nekoliko novih funkcija za izbjegavanje otkrivanja i analize, uključujući RSA enkripciju, ažuriranja algoritma za generisanje domena (DGA) i funkciju protiv analize koja ograničava njegovo izvršavanje na samo zaražene mašine. Stoga su kontinuirano praćenje prijetnji i razvoj adekvatnih protivmjera važni u industriji sajber bezbjednosti za rješavanje ovakvih prijetnji koje se razvijaju.

ZAŠTITA

Da biste se zaštitili od ZLoader zlonamjernog softvera, korisnici mogu slijediti ove opšte mjere, jer one mogu pomoći u sprečavanju ili ublažavanju napada:

1. Održavati operativni sistem i softver ažurnim sa najnovijim bezbjednosnim ispravkama. Ovo smanjuje vjerovatnoću iskorištavanja poznatih ranjivosti koje bi se mogle koristiti za isporuku zlonamjernog softvera kao što je ZLoader,
2. Koristiti renomirano antivirusno rješenje i ažurirajte ga. Antivirusni softver može pomoći u otkrivanju i blokiranju poznatih zlonamjernih datoteka, uključujući one koje distribuira ZLoader ili slične prijetnje,
3. Biti oprezan sa prilozima ili klikanjem na veze u elektronskim porukama iz nepoznatih izvora. Zlonamjerni softver kao što je ZLoader često se širi putem phishing poruka elektronske pošte sa zlonamjernim prilozima ili vezama do zaraženih internet lokacija,
4. Koristiti zaštitni zid, jer uz pravilnu konfiguraciju može pomoći u blokiranju dolaznih veza sa poznatih zlonamjernih IP adresa, sprečavajući početnu infekciju,
5. Primijeniti snažne kontrole pristupa za sistemske i mrežne resurse, što uključuje korišćenje složenih lozinki, autentifikaciju u više koraka i ograničavanje privilegija korisnika samo na ono što je neophodno,
6. Redovno praviti rezervne kopije važnih podataka, jer u slučaju uspješnog napada, posjedovanje nedavnih rezervnih kopija može pomoći da se smanji šteta uzrokovana gubitkom ili korupcijom podataka,
7. Obrazovati korisnike o taktikama društvenog inženjeringa koje se koriste u phishing elektronskoj pošti i drugim napadima. Ovo uključuje obuku o tome kako da identifikuju sumnjivu elektronsku poštu i veze u njima, kao i najbolje prakse za rukovanje osjetljivim informacijama na mreži,
8. Pratiti mrežni saobraćaj i pažljivo bilježiti događaje. Ovo može omogućiti da se brzo identifikuje bilo koja neuobičajena aktivnost, kao što su pokušaji preuzimanja velikih datoteka sa poznatih zlonamjernih IP adresa ili sumnjive veze sa serverima za komandu i kontrolu,
9. Alati za otkrivanje i prevenciju upada mogu pomoći u otkrivanju i blokiranju napada u realnom vremenu, smanjujući vjerovatnoću uspješne infekcije.