Proofpoint araştırmacıları, Aralık 2019’da, “ZLoader” olarak bilinen bankacılık sektöründe aktif olan zararlının yeni bir sürümünün yaygın olarak kullandığı e-posta kampanyalarını gözlemledi. 1 Ocak 2020’den beri ABD, Kanada, Almanya, Polonya ve Avustralya’da alıcılara yöneltilen 100’den fazla kampanya tespit ettiklerini ifade ettiler. Ataklar, sahte e-postalar, COVID-19 aldatmaca önleme ipuçları, COVID-19 testi ve faturalar gibi çeşitli konuları içermektedir.
Ünlü Zeus bankacılık kötü amaçlı yazılımının bir çeşidi olan ZLoader, 2006’dan beri varlığını sürdürmektedir. Hedef finansal kurumların kullanıcılarından kimlik bilgilerini ve diğer özel bilgileri çalmak için web Injection yöntemleri kullanmaktadır. Yazılımlar, kurbanın web tarayıcılarında saklanan şifreleri ve çerezleri de çalabilmektedir. Elde edilen bilgilerle, kötü amaçlı yazılım, tehdit aktörlerinin kurduğu sisteme bağlanmasına ve indirdiği VNC istemcisini kullanarak bankacılık kullanıcısının yasal cihazından yasadışı finansal işlemler gerçekleştirmesine izin vermektedir.
ZLoader’in 2018’deki son etkinliğinden neredeyse iki yıl sonra, orijinal 2016-2018 ZLoader’a benzer işlevsellik ve ağ trafiği gösteren yeni bir bankacılık kötü amaçlı yazılımı kullanan kampanyalar tespit edildi. Ancak, analiz sırasında, orijinal ZLoader’ın kod gizleme, string şifreleme vb birkaç gelişmiş özelliğinin eksik olduğunu fark edildi. Bu nedenle, yeni yazılım 2018’in devamı gibi görünmemekte, fakat benzerlikleri farklı bir sürüm olduğu işaret etmektedir.
Zloader versiyonları aşağıdaki tabloda ifade edilmiştir:
Ay | Versiyonlar |
Aralık 2019 | 1.0.2.0, 1.0.4.0, 1.0.5.0, 1.0.6.0, 1.0.7.0, 1.0.8.0, 1.0.9.0 |
Ocak 2020 | 1.0.10.0, 1.0.10.1, 1.011.1, 1.0.12.0, 1.0.13.0, 1.0.14.0 |
FŞubat 2020 | 1.0.15.0, 1.0.16.0, 1.0.17.0, 1.0.18.0 |
Mart 2020 | 1.1.18.0, 1.1.19.0, 1.1.20.0, 1.1.21.0, 1.1.22.0 |
Nisan 2020 | 1.2.22.0, 1.2.23.0 |
Mayıs 2020 | 1.2.24.0 |
Yazılama ait mail atak önerileri de aşağıdaki gibidir:
Yazılımın config dosyasında tespit edilmiş özellikleri aşağıdaki gibidir:
Artırılabilir C&C URL’leri
Yürütülecek komutlar
user_execute – indir ve çalıştır
bot_uninstall – kendini kaldır
user_cookies_get – web tarayıcılarından çerez çal
user_cookies_remove – web tarayıcılarından çerezleri kaldır
user_passwords_get – şifreleri çal
user_files_get – dosyaları çal
user_url_block – URL’ye erişimi engelle
user_url_unblock – URL’ye erişimi engellemeyi kaldır
Zararlılara ilişkin tespit edilen IOC bilgileri aşağıda yer almaktadır:
IOC | IOC Tipi | Açıklama |
hxxp://march262020\.tech/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.best/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.club/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.com/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.live/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.network/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.online/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.site/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.store/post.php | URL | Zloader (1.1.22.0) C&C |
hxxp://march262020.tech/post.php | URL | Zloader (1.1.22.0) C&C |
hxxps://105711.com/docs.php | URL | Zloader (1.1.22.0) C&C |
hxxps://209711.com/process.php | URL | Zloader (1.1.22.0) C&C |
hxxps://106311.com/comegetsome.php | URL | Zloader (1.1.22.0) C&C |
hxxps://124331.com/success.php | URL | Zloader (1.1.22.0) C&C |
hxxps://brihutyk.xyz/abbyupdater.php | URL | Zloader (1.1.22.0) C&C |
hxxps://asdmark.org/ph4xUMChrXId6.php | URL | Example Landing Page |
hxxps://vfgthujbxd.xyz/milagrecf.php | URL | Zloader (1.1.22.0) C&C |
hxxps://todiks.xyz/milagrecf.php | URL | Zloader (1.1.22.0) C&C |
hxxps://xyajbocpggsr.site/wp-config.php | URL | Zloader (1.1.22.0) C&C |
hxxps://ooygvpxrb.pw/wp-config.php | URL | Zloader (1.1.22.0) C&C |
bfe470b390f20e3e189179fc1372d6e66d04d7676fa07d2a356b71362cd03e53 | SHA256 | Example Excel Sheet Delivering Zloader |
b4e0478cf85035852a664984f8639e98bee3b54d6530ef22d46874b14ad0e748 | SHA256 | Zloader (1.1.22.0) |
fe10daf5e3de07d400ca37b6b151eb252b71d013312e2958d1281da6626813d9 | SHA256 | Example Document Delivering Zloader |
ea190ef11b88e830fa8835ff9d22dcab77a3356d3b1cb7b9f9b56e8cd7deb8c0 | SHA256 | Zloader (1.1.22.0) |
4725e0e2e358e06da19de9802b4c345f1a5ab572dd688c78adf317ce8be85be6 | SHA256 | PDF Attachment from Zloader campaign |
f1bdd2bcbaf40bb99224fa293edc1581fd124da63c035657918877901d79bed8 | SHA256 | Zloader (1.1.22.0) |
6348bded936831629494c1d820fe8e3dbe3fb4d9f96940bbb4ca0c1872bef0ad | SHA256 | Zloader (1.1.22.0) |
2b5e50bc3077610128051bc3e657c3f0e331fb8fed2559c6596911890ea866ba | SHA256 | Zloader (1.1.22.0) |
Kaynak:
https://www.proofpoint.com/us/blog/threat-insight/zloader-loads-again-new-zloader-variant-returns