Redazione RHC : 2 Maggio 2024 08:41
Gli sviluppatori del malware ZLoader, che recentemente ha ripreso la sua attività dopo una pausa di due anni, hanno introdotto una serie di nuove funzionalità, ispirate al trojan bancario Zeus.
Santiago Vicente, ricercatore di Zscaler , ha notato nella sua relazione tecnica che l’ultima versione di ZLoader, 2.4.1.0, include una funzionalità che impedisce al programma di funzionare su computer diversi da quelli originariamente infetti.
In modo simile, questa funzione è stata implementata nel codice sorgente trapelato di Zeus 2.X, da cui sembra che l’autore di ZLoader abbia tratto ispirazione.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
ZLoader, noto anche come Terdot, DELoader o Silent Night, è tornato attivo per la prima volta nel settembre 2023 dopo essere stato eliminato all’inizio del 2022. Questo downloader modulare ha la capacità di scaricare ed eseguire un ampio elenco di software dannoso.
Nelle ultime versioni di ZLoader, lo sviluppatore ha aggiunto il supporto per l’algoritmo RSA e ha anche aggiornato gli algoritmi di generazione dei nomi di dominio (DGA).
Le più recenti funzioni di analisi integrate nel Trojan limitano l’esecuzione di codice dannoso solo sul computer infetto. Se provi a copiare ed eseguire il programma su qualsiasi altro computer dopo l’infezione iniziale, il programma smetterà immediatamente di funzionare. Ciò si ottiene controllando il registro di Windows per la presenza di una chiave specifica e il suo valore.
Vicente ha sottolineato che se si crea manualmente una coppia chiave/valore nel registro o si modifica questo controllo, ZLoader si inserirà con successo nel nuovo processo, ma poi si bloccherà nuovamente dopo aver eseguito solo poche istruzioni. Ciò è dovuto a un controllo secondario nell’intestazione del file MZ.
Come ha notato un altro ricercatore di Zscaler, Kaivalya Khursale, gli hacker criminali utilizzano tecniche di ottimizzazione dei motori di ricerca e siti di phishing su piattaforme popolari come Weebly per distribuire ZLoader. Questi siti sono camuffati da siti legittimi e vengono visualizzati nei primi risultati di ricerca, il che aumenta la probabilità che una potenziale vittima passi accidentalmente a un sito dannoso.
Pertanto, gli sforzi costanti dei criminali informatici per migliorare le loro creazioni dannose dimostrano il loro desiderio di proteggere le proprie risorse e proteggere il codice dannoso dall’analisi degli specialisti della sicurezza informatica. Miglioramenti come questi evidenziano solo l’importanza di monitorare continuamente le minacce e sviluppare contromisure adeguate nel settore della sicurezza informatica.
RedazioneCisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...
