Redazione RHC : 31 Gennaio 2024 15:26
Gli esperti di sicurezza informatica hanno scoperto una nuova campagna per distribuire il malware ZLoader. È interessante notare che ciò è avvenuto quasi due anni dopo lo smantellamento dell’infrastruttura di questa botnet nell’aprile 2022.
Secondo, lo sviluppo della nuova variante ZLoader è in corso da settembre 2023. “La nuova versione di ZLoader ha apportato modifiche significative al modulo di avvio. Ha aggiunto la crittografia RSA, ha aggiornato l’algoritmo di generazione dei nomi di dominio. Ha compilato per la prima volta una versione per i sistemi operativi Windows a 64 bit “, hanno affermato i ricercatori Santiago Vicente e Ismael Garcia Perez.
ZLoader, noto anche come Terdot, DELoader o Silent Night, è un derivato del trojan bancario Zeus apparso per la prima volta nel 2015. Il malware funziona come downloader per altri malware, incluso il ransomware.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
In genere, ZLoader viene distribuito tramite e-mail di phishing e annunci dannosi sui motori di ricerca. Nel 2022 Microsoft, in collaborazione con altre società, ha preso il controllo di 65 domini utilizzati per gestire e comunicare con host infetti. Ciò ha inferto un duro colpo all’infrastruttura ZLoader.
Nonostante ciò, lo sviluppo del malware è continuato. Le ultime versioni di ZLoader, identificate come 2.1.6.0 e 2.1.7.0, includono una serie di tecniche anti-parsing. In particolare, il codice spazzatura e l’offuscamento delle stringhe vengono utilizzati per ostacolare i sistemi di rilevamento del malware.
Inoltre, ogni istanza ZLoader deve avere un nome file specifico da eseguire sull’host infetto. Cioè, se rinomini un file dannoso, non mostrerà attività dannose. “Ciò può aggirare le sandbox per le analisi del malware che rinominano i file dei campioni sotto indagine”, hanno osservato i ricercatori. Per nascondere informazioni critiche sul nome della campagna, sui server di controllo e su altri dati, viene utilizzata la crittografia RC4 con una chiave alfanumerica codificata.
Inoltre, se i principali server di comando e controllo non sono disponibili, viene utilizzata una versione aggiornata dell’algoritmo di generazione del dominio come misura di backup per la comunicazione con la botnet. Questo meccanismo è stato scoperto per la prima volta nella versione 1.1.22.0 di ZLoader, distribuita nell’ambito di campagne di phishing nel marzo 2020.
Secondo i ricercatori, il ritorno di ZLoader nella “arena informatica” rappresenta un serio pericolo: “Zloader rappresenta una minaccia significativa e la sua resurrezione porterà probabilmente a una nuova ondata di attacchi ransomware”.
Pertanto, la nuova campagna ZLoader rappresenta una seria minaccia e richiede molta attenzione da parte di aziende e utenti. È necessario adottare misure per rilevare tempestivamente questa e altre minacce informatiche attuali al fine di ridurre al minimo i rischi e i danni derivanti da possibili attacchi.
RedazioneI ricercatori di Trellix hanno scoperto un insolito schema di attacco su Linux, in cui l’elemento chiave non è un allegato con contenuto dannoso, ma il nome del file all’interno del...
La recente vicenda del gruppo Facebook “Mia Moglie”, attivo dal 2019 e popolato da oltre 32.000 iscritti, mette in luce una dinamica che intreccia violazione della privacy, pornografia n...
Per i dipendenti di Google, “stare al passo con i tempi” significa non solo sviluppare l’intelligenza artificiale, ma anche essere in grado di utilizzarla ogni giorno. Negli ultim...
Advanced Security Solutions, con sede negli Emirati Arabi Uniti, è nata questo mese ed offre fino a 20 milioni di dollari per vulnerabilità zero-day ed exploit che consentirebbero a chiunque...
Un difetto critico riscontrato nel più recente modello di OpenAI, ChatGPT-5, permette a malintenzionati di aggirare le avanzate funzionalità di sicurezza attraverso l’uso di semplici ...
