Исследователи Zscaler сообщают о возвращении вредоносного ПО ZLoader с новой версией и возможностями. ZLoader, также известный как Terdot, DELoader или Silent Night, - это загрузчик вредоносного ПО, оснащенный возможностью развертывания полезных нагрузок следующего этапа. Реализуемые кампании, распространяющие вредоносное ПО, были замечены впервые за почти два года в сентябре 2023 года после того, как его инфраструктура была отключена. Исследователи обнаружили, что обновленный ZLoader использует DNS-туннелирование для сокрытия C2-коммуникаци, что свидетельствует о том, что злоумышленники продолжают совершенствовать инструмент после его повторного появления год назад. Помимо этого Zloader 2.9.4.0 добавляет и другие заметные улучшения, включая интерактивную оболочку, которая поддерживает более дюжины команд, что может быть полезно для атак с использованием ransomware. Выявленные модификации обеспечивают дополнительные уровни устойчивости к обнаружению и смягчению последствий. Вредоносная программа не только использует различные методы противодействия попыткам анализа, но и задействует алгоритм генерации доменов DGA, предпринимая меры по уклонению от запуска на хостах, отличных от хостов исходного заражения по аналогии с трояном Zeus. В последние месяцы распространение ZLoader все чаще связывают с атаками Black Basta, при этом злоумышленники внедряют вредоносное ПО с помощью подключений к удаленному рабочему столу, устанавливаемых под видом устранения неполадок в рамках технической поддержки. Исследователи задетектили также и дополнительный компонент в цепочке атак, который сначала включает развертывание полезной нагрузки под названием GhostSocks, которая затем используется для сброса ZLoader. Методы антианализа Zloader, такие как проверки среды и алгоритмы разрешения импорта API, продолжают обновляться, чтобы обходить вредоносные песочницы и статические сигнатуры. Новая функция, представленная в последней версии вредоносного ПО, представляет собой интерактивную оболочку, которая позволяет оператору выполнять произвольные двоичные файлы, библиотеки DLL и шелл-код, извлекать данные и завершать процессы. Хотя Zloader продолжает использовать HTTPS с запросами POST в качестве основного канала связи C2, он также оснащен функцией туннелирования DNS для упрощения зашифрованного сетевого трафика TLS с использованием пакетов DNS. Замеченные методы распространения Zloader и новый канал связи DNS-туннелирования указывают на то, что его операторы все больше внимания уделяет уклонению от обнаружения, продолжая добавлять новый функционал, выступая эффективным «поставщиком» первоначального доступа для программ-вымогателей.