La aparición de nuevas variantes de malware es una constante amenaza para usuarios y empresas. Recientemente, ha surgido una nueva versión del conocido malware ZLoader, captando la atención de expertos en seguridad informática y usuarios por igual.
Especialistas en seguridad cibernética han descubierto una nueva campaña de distribución del malware ZLoader, que ha resurgido casi dos años después de la desactivación de su infraestructura de botnet en abril de 2022.
Según un análisis reciente, se ha estado desarrollando una nueva variante de este malware desde septiembre de 2023. "La versión actualizada de Zloader incluye cambios importantes en su módulo de carga, con la adición de cifrado RSA, una renovación en el algoritmo de generación de dominios y, por primera vez, una compilación para sistemas operativos Windows de 64 bits", mencionaron los investigadores Santiago Vicente e Ismael García Pérez.
ZLoader, conocido también como Terdot, DELoader o Silent Night, es una derivación del troyano bancario Zeus, que apareció inicialmente en 2015. Desde entonces, ha evolucionado para funcionar como un cargador de otros tipos de malware, incluyendo ransomware.
Te podrá interesar: Análisis de Malware con Wazuh
Este malware se distribuye habitualmente mediante correos electrónicos de phishing y anuncios maliciosos en buscadores. ZLoader recibió un golpe significativo después de que un consorcio de empresas, liderado por la Unidad de Delitos Digitales de Microsoft, tomara control de 65 dominios usados para dirigir y comunicarse con los dispositivos infectados.
Las versiones más recientes del malware, identificadas como 2.1.6.0 y 2.1.7.0, incorporan código inútil y ofuscación de cadenas para dificultar su análisis. También se ha observado que cada instancia de ZLoader requiere un nombre de archivo específico para ejecutarse en el dispositivo comprometido, lo que podría ayudar a evadir entornos de análisis de malware que modifican los nombres de los archivos.
Además, el malware ahora cifra su configuración estática usando RC4 con una clave alfanumérica para ocultar detalles sobre el nombre de la campaña y los servidores de comando y control (C2). Se ha notado que depende de una versión avanzada del algoritmo de generación de dominios, como una medida alternativa en caso de que los servidores C2 primarios no estén disponibles.
Esta técnica de comunicación de respaldo se identificó por primera vez en la versión 1.1.22.0 de ZLoader, que se propagó en campañas de phishing detectadas en marzo de 2020.
"Zloader ha sido una amenaza significativa durante muchos años, y su retorno probablemente conducirá a nuevos ataques de ransomware", indicaron los investigadores. "Aunque la operación de desmantelamiento detuvo temporalmente su actividad, no eliminó al grupo de amenazas detrás de ella".
Este desarrollo se presenta en un contexto donde Red Canary ha alertado sobre un incremento en el número de campañas que utilizan archivos MSIX para distribuir malware, como NetSupport RAT, ZLoader y FakeBat (también conocido como EugenLoader), desde julio de 2023. Esta situación llevó a Microsoft a deshabilitar por defecto el controlador de protocolo a finales de diciembre de 2023.
Además, este panorama incluye la aparición de nuevas familias de malware enfocadas en el robo de información, tales como Rage Stealer y Monster Stealer. Estos malwares se están empleando como puntos de entrada iniciales para sustraer datos y como trampolines para perpetrar ataques cibernéticos más complejos y dañinos.
Conoce más sobre: Atomic Stealer: Nueva versión cifrada ataca a Mac
La nueva variante de ZLoader es un recordatorio de que el panorama de amenazas cibernéticas está en constante evolución. Tanto usuarios individuales como empresas deben estar siempre alerta y adoptar medidas proactivas para protegerse. Mantenerse informado sobre las últimas tendencias en malware y seguir las mejores prácticas de seguridad puede marcar la diferencia en la lucha contra estas amenazas digitales.