Pesquisadores identificaram uma nova campanha que entrega o malware ZLoader, ressurgindo quase dois anos após a infraestrutura do botnet ter sido desmantelada em abril de 2022.

Uma nova variante do malware está em desenvolvimento desde setembro de 2023. A nova versão do Zloader fez mudanças significativas no módulo de carregamento, que adicionou criptografia RSA, atualizou o algoritmo de geração de domínio e agora é compilado pela primeira vez para sistemas operacionais Windows de 64 bits. O ZLoader, também conhecido pelos nomes Terdot, DELoader ou Silent Night, é um derivado do trojan bancário Zeus que surgiu pela primeira vez em 2015, antes de mudar para funcionar como um carregador para cargas úteis de próxima etapa, incluindo ransomware.

Tipicamente distribuído por e-mails de phishing e anúncios maliciosos em motores de busca, o ZLoader sofreu um grande golpe após um grupo de empresas liderado pela Unidade de Crimes Digitais da Microsoft (DCU) assumir o controle de 65 domínios que eram usados para controlar e se comunicar com os hosts infectados. As últimas versões do malware, rastreadas como 2.1.6.0 e 2.1.7.0, incorporam código inútil e ofuscação de strings para resistir a esforços de análise. Espera-se que cada artefato do ZLoader tenha um nome de arquivo específico para ser executado no host comprometido. “Isso pode evadir sandboxes de malware que renomeiam arquivos de amostra”, observaram os pesquisadores.