Неуловимый ZLoader: как DNS-туннели стали цифровыми сообщниками вредоноса

Исследователи кибербезопасности выявили новую версию вредоносного ПО ZLoader, которая использует технологию DNS Tunneling для связи с командным сервером (C2). Это указывает на продолжающееся развитие инструмента злоумышленниками, вновь активизировавшими его использование год назад.

Согласно свежему отчёту Zscaler, версия ZLoader 2.9.4.0 получила заметные улучшения, включая пользовательский DNS-протокол для связи с C2 и интерактивную оболочку, поддерживающую более десятка команд. Эти функции могут быть полезны при осуществлении атак с применением программ-вымогателей, повышая устойчивость вредоносного ПО к обнаружению и блокировке.

ZLoader, также известный как Terdot, DELoader или Silent Night, представляет собой загрузчик, способный доставлять дополнительные вредоносные модули. Его активность возобновилась в сентябре 2023 года спустя почти два года после того, как инфраструктура вредоносного ПО была ликвидирована.

В новой версии ZLoader использует алгоритм генерации доменов (DGA) и методики предотвращения анализа. Например, программа избегает запуска на устройствах, которые отличаются от изначально инфицированных, что характерно и для банковского трояна Zeus, на базе которого ZLoader и основан.

В последние месяцы ZLoader всё чаще связывают с атаками с использованием программ-вымогателей Black Basta. Злоумышленники доставляют вредоносное ПО через удалённые подключения к рабочим столам, маскируясь под службу технической поддержки.

В цепочке атаки исследователи обнаружили новый компонент — загрузку модуля GhostSocks, который впоследствии устанавливает ZLoader. Это подчёркивает усложнение механизма заражения и совершенствование методов сокрытия.

Кроме того, вредоносное ПО обновило свои алгоритмы антианализа, включая проверки среды выполнения и алгоритмы импорта API, чтобы избежать анализа в песочницах и статического обнаружения.

Одной из ключевых новых функций стала интерактивная оболочка, позволяющая злоумышленникам выполнять произвольные бинарные файлы, DLL, shell-коды, а также выводить данные и завершать процессы. Помимо использования HTTPS с POST-запросами для связи с C2, ZLoader теперь поддерживает туннелирование DNS, что позволяет шифровать трафик с использованием TLS через DNS-пакеты.

Эксперты отмечают, что такие нововведения демонстрируют нацеленность группы на обход методов обнаружения. Добавление новых функций делает ZLoader ещё более эффективным инструментом для первичного проникновения в системы с последующим развёртыванием программ-вымогателей.