Threat Hunter haben eine neue Kampagne identifiziert, die den ZLoader-Malware liefert. Diese taucht fast zwei Jahre nach der Zerschlagung der Botnet-Infrastruktur im April 2022 wieder auf. Laut einer Analyse von Zscaler ThreatLabz wurde seit September 2023 eine neue Variante der Malware entwickelt. Die Forscher Santiago Vicente und Ismael Garcia Perez gaben an, dass die neue Version des ZLoader deutliche Änderungen am Loader-Modul vorgenommen hat, einschließlich RSA-Verschlüsselung, Aktualisierung des Domänengenerierungsalgorithmus und Kompilierung für 64-Bit-Windows-Betriebssysteme. ZLoader, auch bekannt als Terdot, DELoader oder Silent Night, ist ein Ableger des Zeus-Banking-Trojaners, der 2015 erstmals aufgetaucht ist und sich dann als Loader für nächste Payloads, einschließlich Ransomware, weiterentwickelt hat. ZLoader wurde typischerweise über Phishing-E-Mails und bösartige Suchmaschinenanzeigen verbreitet. Nachdem eine Gruppe von Unternehmen unter der Führung der Digital Crimes Unit (DCU) von Microsoft im Jahr 2022 die Kontrolle über 65 Domains übernommen hatte, die zur Steuerung und Kommunikation mit den infizierten Hosts verwendet wurden, erlitt ZLoader einen großen Rückschlag. Die neuesten Versionen von ZLoader, 2.1.6.0 und 2.1.7.0, nutzen Junkcode und Zeichenkettenverschleierung, um Analyseversuche zu erschweren. Jedes ZLoader-Artefakt wird erwartet, dass es einen bestimmten Dateinamen hat, um auf dem kompromittierten Host ausgeführt zu werden. Das neue Update von ZLoader verschlüsselt die statische Konfiguration mithilfe von RC4 mit einem festcodierten alphanumerischen Schlüssel, um Informationen über den Kampagnennamen und die Command-and-Control (C2)-Server zu verbergen. Wenn die primären C2-Server nicht erreichbar sind, wird ein aktualisierter Domänengenerierungsalgorithmus als Backup-Kommunikationsmethode verwendet. Die Bedrohung durch ZLoader wurde zwar vorübergehend gestoppt, aber die Forscher warnen, dass die Wiederauferstehung des Botnets wahrscheinlich zu neuen Ransomware-Angriffen führen wird. Red Canary hat auch vor einer Zunahme von Kampagnen gewarnt, die seit Juli 2023 MSIX-Dateien nutzen, um Malware wie NetSupport RAT, ZLoader und FakeBat (auch bekannt als EugenLoader) zu verbreiten. Aufgrund dieser Entwicklung hat Microsoft den Protokollhandler seit Ende Dezember 2023 standardmäßig deaktiviert. Es gibt auch neue Stealer-Malware-Familien wie Rage Stealer und Monster Stealer, die als Eintrittspunkt für Informationsdiebstahl und als Basis für schwerwiegendere Cyberangriffe verwendet werden.