Observatorio de Amenazas

Resurgimiento de malware ZLoader

Escrito por Javiera González | 01-02-24

Los cazadores de amenazas han identificado una nueva campaña que entrega el malware ZLoader, resurgiendo casi dos años después de que la infraestructura de la botnet fuera desmantelada en abril de 2022.

Se dice que una nueva variante del malware ha estado en desarrollo desde septiembre de 2023, según un análisis publicado por Zscaler ThreatLabz.

La nueva versión de Zloader hizo cambios significativos en el módulo de cargador, que agregó cifrado RSA, actualizó el algoritmo de generación de dominios y ahora se compila para sistemas operativos Windows de 64 bits por primera vez.

ZLoader, también conocido por los nombres de Terdot, DELoader o Silent Night, es una rama del troyano bancario de Zeus que apareció por primera vez en 2015, antes de girar para funcionar como un cargador para las cargas útiles de la siguiente etapa, incluido el ransomware.

Típicamente distribuido a través de correos electrónicos de phishing y anuncios maliciosos en motores de búsqueda, ZLoader sufrió un gran golpe después de que un grupo de empresas dirigidas por la Unidad de Delitos Digitales (DCU) de Microsoft tomara el control de 65 dominios que se utilizaron para controlar y comunicarse con los hosts infectados.

Características del malware zloader 

  • Las últimas versiones del malware, rastreadas como 2.1.6.0 y 2.1.7.0, incorporan código basura y ofuscación de cadenas para resistir los esfuerzos de análisis.
  • También se espera que cada artefacto de ZLoader tenga un nombre de archivo específico para que se ejecute en el host comprometido.
  • Además de cifrar la configuración estática utilizando RC4 con una clave alfanumérica codificada para ocultar la información relacionada con el nombre de la campaña y los servidores de comando y control (C2), se ha observado que el malware depende de una versión actualizada del algoritmo de generación de dominios como medida de respaldo en caso de que los servidores C2 primarios sean inaccesibles.

Impacto potencial del malware zloader

El malware ZLoader puede utilizarse para robar información personal y financiera, instalar ransomware o realizar otras actividades maliciosas.

Recomendaciones para protegerse del malware zloader

Dentro de las medidas a tomar se destaca: actualizar los sistemas operativos y software a las últimas versiones disponibles, utilizar un software antivirus y antimalware de confianza y mantenerlo actualizado, y tener cuidado con los correos electrónicos y los enlaces que recibe de remitentes desconocidos.

Es fundamental encontrar un equilibrio adecuado para prevenir ataques cibernéticos como este. En Widefense acompañamos a nuestros clientes a abordar este desafío con un enfoque integral de ciberdefensa. 

Además, considerando que el 95% de los problemas de ciberseguridad tienen su origen en errores por falta de conocimiento, el principal método de prevención es lograr que los colaboradores comprendan los riesgos como lo es la ingeniería social y/o el phishing, a través de la implementación de programas online de concientización y capacitación. Para tener colaboradores conscientes de su rol en la seguridad que operen bajo una conducta que aporte a la ciberdefensa.

Adicionalmente, las empresas pueden frenar los ataques de fraude a su marca a través de la protección de la huella digital de todo lo que podría afectarles más allá del perímetro interno a través de la visibilidad, protección y prevención de ataques dirigidos, suplantación de identidad, marca o colaboradores, así como brindar información en tiempo real de filtración de datos.

¿Qué pueden hacer nuestros Servicios Administrados por tu organización?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

      • Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
      • Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
      • Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://thehackernews.com/2024/01/new-zloader-malware-variant-surfaces.html

https://www.apañados.es/73283-nueva-variante-malware-zloader-compatibilidad-windows-64-bits