Zloader, noto anche come Terdot, DELoader o Silent Night, è un Trojan modulare derivato dal codice sorgente trapelato di Zeus. Inizialmente progettato per frodi bancarie, Zloader si è evoluto per facilitare il dispiegamento di ransomware in ambienti aziendali. Dopo una pausa, Zloader è riemerso con funzionalità avanzate, tra cui il tunneling DNS per le comunicazioni di comando e controllo (C2).
“ThreatLabz ha identificato una nuova versione di Zloader (2.9.4.0) che ha introdotto funzionalità che migliorano ulteriormente le capacità anti-analisi del malware, una shell interattiva per l’attività di tastiera pratica e un tunnel Domain Name System (DNS) per le comunicazioni di comando e controllo (C2). Queste modifiche forniscono livelli aggiuntivi di resilienza contro il rilevamento e la mitigazione“, si legge nel rapporto Zscaler.
Evoluzione di Zloader
Zloader è apparso per la prima volta nel 2015, prendendo di mira i sistemi bancari attraverso l’Automated Clearing House (ACH) e i bonifici. Nel tempo, è stato riproposto per ottenere l’accesso iniziale alle reti aziendali, simile ad altri malware come Qakbot e Trickbot. L’ultima versione di Zloader include tecniche di offuscamento avanzate, un algoritmo di generazione di domini (DGA) raffinato e misure anti-analisi migliorate.
Tunneling DNS: un nuovo metodo di comunicazione C2
L’aggiornamento più significativo nell’ultima versione di Zloader è l’introduzione del tunneling DNS per le comunicazioni C2. Questa tecnica consente a Zloader di stabilire canali di comunicazione nascosti, rendendo più difficile per i sistemi di sicurezza rilevare e bloccare le sue attività. Zloader implementa un protocollo personalizzato per DNS utilizzando IPv4 per inoltrare il traffico di rete TLS crittografato, migliorando la sua resilienza contro il rilevamento. Senza fare affidamento su librerie di terze parti o sull’API di Windows, Zloader riesce così di eludere i metodi di rilevamento tradizionali (firme statiche). Il malware utilizza inoltre controlli ambientali e algoritmi di risoluzione delle importazioni API per evitare sandbox antimalware.
Vettore di infezione
La distribuzione di Zloader è passata da campagne di spam su larga scala ad attacchi più mirati. Questi attacchi spesso coinvolgono l’adescamento delle vittime per avviare sessioni di monitoraggio e gestione remota (RMM) utilizzando strumenti come AnyDesk, TeamViewer e Microsoft Quick Assist. Questo approccio personalizzato aumenta la probabilità di infezioni riuscite.
Conclusione
L’adozione del tunneling DNS per le comunicazioni C2 da parte di Zloader segna un avanzamento significativo nelle sue capacità. Questa tecnica, combinata con le altre funzionalità sofisticate, rende Zloader una minaccia nel panorama della sicurezza informatica. Le organizzazioni devono rimanere vigili e adottare strategie di rilevamento e mitigazione robuste per proteggersi da questo malware in evoluzione.
“Con gli ultimi aggiornamenti di Zloader, le organizzazioni devono assicurarsi di ispezionare non solo il traffico basato sul Web, ma anche il traffico di rete basato su DNS“, conclude il THREATLABZ RESEARCH nel suo rapporto.