Чем же авторы «воскресшего» загрузчика удивили исследователей на этот раз?
Разработчики вредоносной программы ZLoader, которая недавно возобновила свою активность после двухлетнего перерыва, внедрили в своё детище ряд новых функций, вдохновлённых банковским трояном Zeus.
Сантьяго Висенте, исследователь из компании Zscaler, в своём техническом отчёте отметил, что последняя версия ZLoader, 2.4.1.0, включает функцию, которая предотвращает выполнение программы на компьютерах, отличных от первоначально заражённых. Похожим образом эта функция была реализована в утёкшем исходном коде Zeus 2.X, откуда, видимо, автор ZLoader и черпал своё вдохновение.
ZLoader, также известный как Terdot, DELoader или Silent Night, впервые «восстал из мёртвых» в сентябре 2023 года после своего устранения в начале 2022 года. Этот модульный троян-загрузчик обладает возможностью скачивания и выполнения обширного перечня вредоносного ПО. В последних версиях ZLoader разработчик добавил поддержку RSA-алгоритма, а также обновил алгоритмы генерации доменных имён (DGA).
Новейшие функции анализа, интегрированные в троян, ограничивают выполнение вредоносного кода только на заражённом компьютере. Если попытаться скопировать и выполнить программу на любом другом компьютере после начального заражения, программа будет немедленно прекращать свою работу. Это достигается проверкой реестра Windows на наличие специфического ключа и его значения.
Висенте подчеркнул: если вручную создать пару ключ/значение в реестре или изменить эту проверку, ZLoader успешно внедрится в новый процесс, но затем снова прекратит работу после выполнения лишь нескольких инструкций. Это связано со вторичной проверкой в заголовке MZ-файла.
Как отметил другой исследователь Zscaler, Кайвалья Хурсале, для распространения ZLoader хакеры используют техники поисковой оптимизации и фишинговые сайты на популярных платформах, таких как Weebly. Эти сайты маскируются под легитимные и выводятся в топ результатов поиска, что увеличивает вероятность случайного перехода потенциальной жертвой на вредоносный сайт.
Таким образом, постоянные усилия киберпреступников по улучшению своих вредоносных творений демонстрирует их стремление защитить свои активы и обезопасить вредоносный код от анализа специалистами по кибербезопасности. Подобные усовершенствования лишь подчёркивают важность постоянного мониторинга угроз и развития адекватных мер противодействия в отрасли кибербезопасности.
Ваши данные уже украдены. Вопрос лишь в том, когда их используют против вас.
Узнайте, как защититься!
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.