RSA 加密和更新的域生成算法仔细地掩盖了恶意软件的活动。

网络安全专家发现了一种传播 ZLoader 恶意软件的新活动。值得注意的是，这发生在该僵尸网络的基础设施于 2022 年 4 月拆除之后近两年。

据Zscaler称 ，新 ZLoader 变体的开发自 2023 年 9 月以来一直在进行。研究人员 Santiago Vicente 和 Ismael Garcia Perez 表示：“新版本的 ZLoader 对启动模块进行了重大更改：添加了RSA加密、更新了域名生成算法，并首次编译了针对 64 位Windows操作系统的版本。” 。

ZLoader，也称为 Terdot、DELoader 或 Silent Night，是 2015 年首次出现的 Zeus 银行木马的衍生品。该恶意软件充当其他恶意软件（包括勒索软件）的下载程序。

通常，ZLoader 通过网络钓鱼电子邮件和搜索引擎上的恶意广告进行分发。2022 年，微软的网络犯罪部门与其他公司合作， 控制 了 65 个用于管理受感染主机并与其通信的域。这对 ZLoader 基础设施造成了严重打击。

尽管如此，恶意软件的开发仍在继续。ZLoader 的最新版本（追踪为 2.1.6.0 和 2.1.7.0）包含许多反解析技术。特别是，垃圾代码和字符串混淆被用来阻碍恶意软件检测系统。

此外，每个 ZLoader 实例必须具有特定的文件名才能在受感染的主机上执行。也就是说，如果您重命名恶意文件，它将不会显示恶意活动。研究人员指出：“这可以绕过恶意软件分析沙箱，从而重命名正在调查的样本文件。”

为了隐藏有关活动名称、控制服务器和其他数据的关键信息，使用带有硬编码字母数字密钥的 RC4加密。

此外，如果主要命令和控制服务器不可用，则使用更新版本的域生成算法作为与僵尸网络通信的备份措施。该机制首次在 ZLoader 版本 1.1.22.0 中发现，该版本于 2020 年 3 月作为网络钓鱼活动的一部分进行分发。

研究人员表示，ZLoader 重返“网络竞技场”构成了严重的危险：“Zloader 多年来一直是一个重大威胁，它的复苏可能会导致新一波勒索软件攻击。”

因此，新的 ZLoader 活动构成了严重威胁，需要公司和用户的密切关注。有必要采取措施及时检测这种威胁和其他当前的网络威胁，以尽量减少可能的攻击带来的风险和损害。