Uma nova versão do malware ZLoader foi detectada utilizando um túnel de Sistema de Nomes de Domínio (DNS) para comunicação com servidores de comando e controle (C2). Essa técnica aumenta a furtividade do malware, demonstrando como seus operadores continuam aprimorando suas capacidades após o retorno da ferramenta em 2023. De acordo com os pesquisadores, a versão 2.9.4.0 do ZLoader inclui melhorias significativas, como um protocolo DNS personalizado para comunicação C2 e um shell interativo que suporta mais de uma dúzia de comandos, possivelmente úteis para ataques de ransomware.

Essas mudanças aumentam a resiliência contra detecção e mitigação. Também conhecido como Terdot, DELoader ou Silent Night, o ZLoader é um malware loader projetado para implantar cargas úteis secundárias. Após quase dois anos de inatividade, o malware reapareceu em setembro de 2023, com campanhas distribuindo-o novamente. Ele utiliza técnicas avançadas, como algoritmos de geração de domínios (DGA) e verificações de ambiente, para evitar análises e execução em sistemas diferentes do original infectado, características herdadas do trojan bancário Zeus. Nos últimos meses, o ZLoader tem sido frequentemente associado a ataques de ransomware Black Basta.

Os operadores utilizam conexões de desktop remoto disfarçadas de suporte técnico para implantar o malware. A cadeia de ataque começa com a entrega de um payload chamado GhostSocks, que, em seguida, carrega o ZLoader. A última versão também introduz um shell interativo, permitindo aos operadores executar binários arbitrários, DLLs e shellcodes, além de exfiltrar dados e encerrar processos. Embora o HTTPS continue sendo o canal primário de comunicação C2, a funcionalidade de tunelamento DNS possibilita tráfego criptografado via pacotes DNS, ampliando as capacidades do malware para evadir detecção.