Os autores do ressurgido malware ZLoader adicionaram um recurso originalmente presente no trojan bancário Zeus, do qual ele é derivado, indicando que está sendo ativamente desenvolvido.

“A versão mais recente, 2.4.1.0, introduz um recurso para impedir a execução em máquinas que diferem da infecção original”, disse Santiago Vicente, pesquisador de cibersegurança. O ZLoader, ressurgiu após quase dois anos de hiato em setembro de 2023, seguindo sua desativação no início de 2022.

Um trojan modular com capacidades para carregar payloads de próxima etapa, versões recentes do malware adicionaram criptografia RSA, bem como atualizações em seu algoritmo de geração de domínio (DGA).

O sinal mais recente da evolução do ZLoader vem na forma de um recurso anti-análise que restringe a execução do binário à máquina infectada. Esse recurso, presente em artefatos com versões superiores a 2.4.1.0, faz com que o malware termine abruptamente se for copiado e executado em outro sistema após a infecção inicial. Isso é realizado por meio de uma verificação no Registro do Windows para uma chave e valor específicos.