Last Updated on 2024-05-01 21:27 by 荒木 啓介
ZLoaderマルウェアが、元になったZeusバンキングトロイの木馬からのアンチアナリシス技術を取り入れて進化している。このマルウェアは、最新バージョン2.4.1.0で、オリジナルの感染マシン以外での実行を防ぐ機能を追加した。ZLoaderは、約2年の中断の後、2023年9月に活動を再開した。このマルウェアは、RSA暗号化やドメイン生成アルゴリズム(DGA)の更新など、次段階のペイロードをロードする機能を備えたモジュラートロイの木馬である。
この新しいアンチアナリシス機能は、バイナリが感染したマシンに限定して実行されるようにするもので、他のシステムにコピーして実行された場合、マルウェアは突然終了する。これは、特定のキーと値のWindowsレジストリチェックによって実現される。レジストリキーと値は、サンプルごとに異なるハードコードされたシードに基づいて生成される。ZLoaderの実行は、正しいシードとMZヘッダー値が設定され、元のシステムのレジストリおよびディスクパス/名前が複製されない限り、異なるマシンで停止する。
ZLoaderのこの技術は、インストール情報を保存し、異なるホストでの実行を避けるために、ZeuSバージョン2.0.8で使用されたPeSettingsというデータ構造に似ているが、レジストリを使用して異なる方法で実装されている。最近のバージョンでは、ZLoaderはシステム感染に対してより隠密なアプローチを採用しており、この新しいアンチアナリシス技術により、ZLoaderの検出と分析がさらに困難になっている。
脅威アクターは、Weeblyのような人気のある正当なプラットフォームでホストされた詐欺的なウェブサイトを利用して、スティーラーマルウェアを広め、ブラックハットSEO技術を通じてデータを盗むことが観察されている。これらのキャンペーンの特徴は、感染がGoogle、Bing、DuckDuckGo、Yahoo、AOLなどの検索エンジンからの訪問が原因である場合にのみ、ペイロード配信段階に進むことである。過去2ヶ月間には、米国、トルコ、モーリシャス、イスラエル、ロシア、クロアチアの組織を対象とした、Taskunマルウェアを介したAgent Teslaへのファシリテータとして機能する、メールベースのフィッシングキャンペーンも観察されている。
【ニュース解説】
ZLoaderマルウェアが、Zeusバンキングトロイの木馬から学んだアンチアナリシス技術を取り入れ、進化していることが明らかになりました。この技術は、マルウェアがオリジナルの感染マシン以外での実行を防ぐ機能を持つというものです。ZLoaderは、2023年9月に活動を再開し、RSA暗号化やドメイン生成アルゴリズム(DGA)の更新など、次段階のペイロードをロードする機能を備えたモジュラートロイの木馬として知られています。
この新しいアンチアナリシス機能により、マルウェアは特定のWindowsレジストリキーと値のチェックを行い、これらが元の感染マシンにのみ存在する場合にのみ実行を続けます。このキーと値は、サンプルごとに異なるハードコードされたシードに基づいて生成されるため、他のマシンでの実行を試みると、マルウェアは突然終了します。この技術は、ZeuSバンキングトロイの木馬のバージョン2.0.8で使用されたPeSettingsというデータ構造に似ていますが、レジストリを使用して異なる方法で実装されています。
この進化は、ZLoaderがシステム感染に対してより隠密なアプローチを採用していることを示しており、セキュリティ研究者にとっての検出と分析をより困難にしています。さらに、脅威アクターがWeeblyのような正当なプラットフォームでホストされた詐欺的なウェブサイトを利用してスティーラーマルウェアを広め、ブラックハットSEO技術を通じてデータを盗むことが観察されています。これらのキャンペーンは、検索エンジンからの訪問が原因である場合にのみ、ペイロード配信段階に進むという特徴があります。
このような進化するマルウェアの出現は、サイバーセキュリティの世界において、防御策を常に更新し、進化させる必要があることを示しています。また、正当なプラットフォームを悪用する手法は、ユーザーが信頼できる情報源からのみコンテンツをダウンロードし、不審なメールやリンクに注意を払うことの重要性を再確認させます。長期的には、マルウェアの検出と分析を困難にする技術の進化に対抗するため、より高度なセキュリティ対策とユーザー教育が必要となるでしょう。
from ZLoader Malware Evolves with Anti-Analysis Trick from Zeus Banking Trojan.
