Новый ZLoader обходит любую защиту и шифрует данные через DNS

Эксперты в области кибербезопасности зафиксировали обновление вредоносного ПО ZLoader, которое теперь использует технологию DNS-туннелирования для связи с командным сервером (C2). Эти изменения делают вирус еще более сложным для обнаружения и блокировки. По данным отчета Zscaler, версия 2.9.4.0 также получила интерактивную оболочку, поддерживающую выполнение различных команд, включая запуск бинарных файлов и завершение процессов.

ZLoader, изначально созданный как загрузчик дополнительных модулей, активно используется в атаках с программами-вымогателями, включая Black Basta. Новая версия вируса усложняет цепочку заражения, добавляя компоненты, такие как модуль GhostSocks, и внедряя алгоритмы предотвращения анализа, включая проверку среды выполнения и защиту от песочниц.

Основной особенностью обновления является использование DNS-туннелирования, которое позволяет шифровать трафик через DNS-пакеты. Это значительно снижает вероятность обнаружения, так как злоумышленники могут обходить традиционные методы фильтрации трафика. Кроме того, ZLoader внедрил новые проверки для работы исключительно на устройствах, ранее подвергшихся заражению, что усложняет анализ вируса.