Ερευνητές ανακάλυψαν μια νέα έκδοση του ZLoader malware, που χρησιμοποιεί την τεχνική DNS Tunneling.
Ερευνητές ασφαλείας της Zscaler ThreatLabz ανακάλυψαν νέα έκδοση του κακόβουλου λογισμικού ZLoader, που χρησιμοποιεί ένα Domain Name System (DNS) tunnel για επικοινωνίες command-and-control (C2). Αυτό δείχνει ότι οι επιτιθέμενοι συνεχίζουν να βελτιώνουν το κακόβουλο εργαλείο.
Επιπλέον, το Zloader 2.9.4.0 έρχεται με ένα interactive shell που υποστηρίζει περισσότερες από δώδεκα εντολές, οι οποίες μπορεί να είναι πολύτιμες για επιθέσεις ransomware.
Δείτε επίσης: Το νέο Meeten malware στοχεύει χρήστες macOS και Windows
Xάκερ παρακάμπτουν την προστασία phishing του iMessage
CES 2025: Τα πιο συναρπαστικά ρομπότ!
Η Samsung διορθώνει πολλαπλά ελαττώματα ασφαλείας
Το ZLoader, που είναι επίσης γνωστό ως Terdot, DELoader ή Silent Night, είναι ένα malware loader, που βοηθά στην ανάπτυξη κακόβουλων payloads επόμενου σταδίου. Τον Απρίλιο του 2022, η Microsoft πήρε τον έλεγχο της υποδομής botnet του ZLoader, σε συνεργασία με ερευνητές από την ESET, τα Black Lotus Labs της Lumen και το Unit 42 της Palo Alto Networks. Η Avast βοήθησε στην ευρωπαϊκή έρευνα DCU της Microsoft. Σύμφωνα με την ESET, το Zloader είχε περίπου 14.000 μοναδικά δείγματα και περισσότερους από 1.300 μοναδικούς C&C servers.
Ωστόσο, το Σεπτέμβριο του 2023, εντοπίστηκαν νέες καμπάνιες διανομής του ZLoader malware. Η τεχνική DNS Tunneling εντοπίστηκε στις πιο πρόσφατες καμπάνιες του ZLoader, παράλληλα με τη χρήση domain generation algorithm (DGA).
Τους τελευταίους μήνες, η διανομή του ZLoader συσχετίζεται όλο και περισσότερο με επιθέσεις του ransomware Black Basta, με τους παράγοντες απειλών να αναπτύσσουν το κακόβουλο λογισμικό μέσω remote desktop connections που δημιουργούνται υπό το πρόσχημα της διόρθωσης ενός τεχνικού προβλήματος.
Δείτε επίσης: Hackers χρησιμοποιούν fake εφαρμογές τηλεδιάσκεψης για διανομή του Realst Malware
Η εταιρεία κυβερνοασφάλειας είπε ότι ανακάλυψε ένα πρόσθετο στοιχείο στην αλυσίδα επιθέσεων που περιλαμβάνει πρώτα την ανάπτυξη ενός payload που ονομάζεται GhostSocks, το οποίο στη συνέχεια χρησιμοποιείται για την εγκατάσταση του ZLoader malware.
Επιπλέον, η Zscaler παρατήρησε ότι: “Οι τεχνικές αντι-ανάλυσης του Zloader, όπως οι έλεγχοι περιβάλλοντος και οι αλγόριθμοι API import resolution συνεχίζουν να ενημερώνονται για να αποφεύγονται τα malware sandboxes και τα static signatures“.
Μια νέα δυνατότητα που εισήχθη στην πιο πρόσφατη έκδοση του κακόβουλου λογισμικού είναι ένα interactive shell που επιτρέπει στον χειριστή να εκτελεί αυθαίρετα binaries, DLL και shellcode, να εξάγει δεδομένα και να τερματίζει διαδικασίες.
Το Zloader malware συνεχίζει να χρησιμοποιεί το HTTPS με POST requests για επικοινωνία C2, αλλά όπως προείπαμε διαθέτει και ένα DNS tunneling feature για τη διευκόλυνση του encrypted TLS network traffic χρησιμοποιώντας πακέτα DNS.
Δείτε επίσης: Πώς να καταλάβετε ότι ο υπολογιστής σας έχει μολυνθεί από malware
Οι αλλαγές δείχνουν ότι η ομάδα εστιάζει όλο και περισσότερο στην αποφυγή εντοπισμού.
“Η ομάδα απειλών συνεχίζει να προσθέτει νέες δυνατότητες και λειτουργίες για να λειτουργεί πιο αποτελεσματικά ως initial access broker για ransomware“, καταλήγουν οι ερευνητές.
Προστασία από malware
Οι μέθοδοι στατικής ανίχνευσης για ασφάλεια δεν είναι αρκετές για την αποφυγή malware. Μια πιο ισχυρή προσέγγιση θα πρέπει να ενσωματώνει λογισμικό προστασίας από ιούς, εξοπλισμένο με προηγμένες δυνατότητες ανάλυσης.
Η εκπαίδευση στην ασφάλεια των πληροφοριών είναι επίσης ζωτικής σημασίας. Αυτό σημαίνει ότι πρέπει να γνωρίζετε πώς να αναγνωρίζετε και να αποφεύγετε τις επιθέσεις phishing, τις οποίες οι επιτιθέμενοι συχνά χρησιμοποιούν για να εγκαταστήσουν malware.
Δείτε επίσης: Η NordLayer προσθέτει εργαλείο ανίχνευσης malware
Επίσης, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τις εφαρμογές σας ενημερωμένες. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον υπολογιστή σας από τις πιο πρόσφατες απειλές.
Επίσης, μην ξεχνάτε τη χρήση firewalls και την παρακολούθηση του network traffic που θα σας βοηθήσει να εντοπίσετε άμεσα ύποπτη δραστηριότητα. Συνιστάται, ακόμα, στους χρήστες να αποφεύγουν εκτελέσιμα αρχεία που λαμβάνονται από περίεργους ιστότοπους.
Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η ενεργοποίηση της διαδικασίας επαλήθευσης δύο παραγόντων μπορεί να προσφέρει επιπλέον επίπεδο προστασίας έναντι του malware. Αυτό μπορεί να δυσκολέψει τους επιτιθέμενους να αποκτήσουν πρόσβαση στον λογαριασμό σας, ακόμη και αν καταφέρουν να κλέψουν τον κωδικό πρόσβασής σας.
Πηγή: thehackernews.com