A ESET tem colaborado com parceiros como a Digital Crimes Unit (DCU) da Microsoft, Lumen's Black Lotus Labs, Palo Alto Networks Unit 42 em uma tentativa de interromper as conhecidas botnets Zloader. A ESET contribuiu para o projeto fornecendo análises técnicas, informações estatísticas e nomes de domínio e endereços IP de servidores de comando e controle conhecidos.
A botnet Zloader começou a vida como um trojan bancário, mas ultimamente evoluiu para se tornar um distribuidor de várias famílias de malware, incluindo várias famílias de ransomware.
A operação coordenada de interrupção visou três botnets específicas, cada uma usando uma versão diferente do malware Zloader. Os pesquisadores da ESET ajudaram na identificação de 65 domínios que haviam sido utilizados por esses operadores das botnets recentemente e que foram sequestrados para que essa operação de interrupção fosse realmente eficaz. Além disso, os bots da Zloader dependem de um canal de comunicação de backup que gera automaticamente nomes de domínio exclusivos que podem ser usados para receber comandos de seus botmasters. Esta técnica, conhecida como algoritmo de geração de domínio (DGA, pela sigla em inglês), é utilizada para gerar 32 domínios diferentes por dia, por botnet. Para garantir que os operadores da botnet não possam usar este canal lateral para recuperar o controle de suas redes de botnets, foram tomados 319 domínios adicionais já registrados gerados por este algoritmo e o grupo de trabalho também está tomando medidas para bloquear o registro de domínios DGA que podem ser gerados no futuro. A pesquisa da Microsoft também identificou Denis Malikov como coautor de um componente malicioso utilizado nas botnets para distribuir ransomware.
Antecedentes
A Zloader é uma das muitas famílias de trojans bancários fortemente inspiradas pelo famoso trojans bancário Zeus, cujo código fonte foi vazado em 2011. Muitos artigos de pesquisa já foram publicados sobre este malware, como o paper da Malwarebytes e HYAS - o mais detalhado do ponto de vista técnico.
Este artigo não se concentrará em aspectos técnicos profundos sobre o trojan, mas destacará detalhes de seu funcionamento e infraestrutura.
A primeira versão (1.0.0.0) da botnet Zloader que encontramos foi compilada em 9 de novembro de 2019, no mesmo dia em que foi anunciada e publicada em fóruns clandestinos com o nome de "Silent Night". Os pesquisadores da ESET têm acompanhado de perto a atividade e evolução da ameaça desde então, dando-nos uma grande visão do modo de operação da Zloader e de sua infraestrutura.
Ao longo da existência da Zloader, analisamos cerca de 14 mil amostras únicas através de nosso sistema de rastreamento automático, o que nos ajudou a descobrir mais de 1.300 servidores de comando e controle (C&C) únicos. Em março de 2020, a Zloader implementou um algoritmo de geração de domínios (DGA) que nos permitiu descobrir cerca de 300 domínios ativos adicionais registrados por operadores da Zloader e usados como servidores de C&C.
Temos visto alguns picos na popularidade da Zloader entre os cibercriminosos, principalmente durante seu primeiro ano de existência, mas seu uso começou a declinar durante 2021 e apenas alguns cibercriminosos a usaram para suas ações criminosas. Isso pode, no entanto, mudar no futuro, pois já vimos amostras da versão 2.0 em atividade (compiladas em julho de 2021). Nossas descobertas mostram que estas amostras foram apenas versões de testes, mas estaremos acompanhando de perto esta nova atividade e sua evolução. Devido à baixa prevalência e à natureza desta nova versão, todas as informações a seguir se aplicam à versão 1.x da Zloader.
Como já mencionado, a Zloader, semelhante a outros malwares personalizados e disponíveis para compra ou download, está sendo anunciada e vendida em fóruns clandestinos. Quando comprada, as afiliadas recebem tudo o que precisam para montar seus próprios servidores com painéis de administração e começar a construir seus bots. As afiliadas são então responsáveis pela distribuição e manutenção de suas botnets.
Como podemos ver na Figura 1, temos observado campanhas de distribuição da Zloader em muitos países, sendo os Estados Unidos o país onde se observou maior atividade.
O Zloader tem sido utilizado por vários grupos afiliados e cada um deles tem usado uma abordagem diferente para a distribuição do malware, inclusive:
- Kit de exploração RIG
- E-mails de spam que usam o tema Covid-19 e que incluem documentos maliciosos do Microsoft Word anexados
- Variantes de um falso de e-mails de spam que incluem documentos com macros XLS maliciosos
- Uso indevido dos anúncios do Google
O desenvolvimento dos últimos métodos de distribuição será abordado nas próximas seções.
Características internas do Zloader
O Zloader tem uma arquitetura modular, baixando e utilizando seus módulos conforme necessário. Os módulos compatíveis do Zloader são exibidos na Tabela 1 e 2.
Tabela 1. Visão geral dos módulos maliciosos utilizados pelo Zloader.
Malicious modules | Functionality |
---|---|
Loader module | Loading the core module |
Core module (x86) | Main functionality for x86 processes |
Core module (x64) | Main functionality for x64 processes |
hvnc32 module | Hidden VNC (x86) for remote PC control |
hvnc64 module | Hidden VNC (x64) for remote PC control |
Tabela 2. Ferramentas legítimas utilizadas abusivamente pelo Zloader para apoiar suas tarefas maliciosas.
Helper modules | Functionality |
---|---|
zlib1.dll | Used to support AitB (Adversary in the Browser) attacks |
libssl.dll | Used to support AitB attacks |
certutil.exe (+necessary DLL files) | Used to support AitB attacks |
sqlite3.dll | Used for processing browser data |
O primeiro componente do Zloader é um loader que é usado para baixar ou carregar (caso já tenha sido baixado) o módulo central. Este módulo central é responsável pelo download e carregamento de módulos adicionais e pela execução de suas próprias tarefas maliciosas.
As características mais notáveis do Zloader são:
- Capacidade de roubar vários dados de navegadores e do Microsoft Outlook, roubar carteiras de criptomoedas;
- Registro de teclas (Keylogging);
- Compatibilidade com o HiddenVNC para permitir ao operador o controle remoto de sistemas comprometidos;
- Compatibilidade com o webinjects do tipo Zeus, captura de formulário e captura de tela de formulário;
- Execução arbitrária de comandos (por exemplo, download e execução de outros malwares).
Toda a comunicação entre os bots e seus servidores C&C é realizada através de HTTP/HTTPS, e independentemente de qual seja utilizado, os dados são criptografados usando RC4. Alguns dos dados são adicionalmente criptografados usando um algoritmo baseado em XOR conhecido como "Visual Encrypt". A chave RC4 é única para cada afiliado, conforme descrito na próxima seção. A Figura 2 mostra a configuração estática de um bot. Ela contém uma lista de até dez URLs de C&C codificadas juntamente com outros dados importantes para comunicação - tais como a botnetID para ajudar o operador a filtrar facilmente os dados de diferentes campanhas, a assinatura para verificação da comunicações, etc. A lista de C&C de um bot pode ser facilmente atualizada através de um comando do painel de administração do operador.
Se nenhum dos servidores codificados responder, um bot do Zloader pode usar seu DGA como mecanismo de emergência. Todos os dias, uma lista de 32 novos domínios exclusivos para cada afiliado é gerada com base no dia atual recuperado pela função GetLocalTime. As URLs geradas têm o formato https://<20_random_lowercase_ASCII_letters>.com/post.php
A infraestrutura da botnet e afiliados
A chave de criptografia RC4 utilizada na comunicação da botnet é única para cada afiliado e está vinculada à instalação do painel de administração do afiliado. Esta exclusividade nos dá a oportunidade de agrupar amostras do Zloader e acompanhar os métodos de distribuição dos afiliados e a evolução de suas campanhas.
Desde o início de nosso rastreamento, já observamos mais de 25 chaves RC4 diferentes. Vale notar que algumas dessas filiais estiveram ativas por um período muito curto - algumas delas provavelmente estavam apenas testando as funções do Zloader. Também é possível que alguns operadores tenham simplesmente reinstalado novamente o painel de administração em algum momento e continuado sua operação com uma nova chave RC4. Uma linha do tempo de atividade notável da filial, assim como várias datas de lançamento da versão Zloader, pode ser vista na Figura 3.
Como pode ser visto na Figura 5, a partir de outubro de 2020, a maior parte da atividade do Zloader foi realizada por seus afiliados. Podemos distingui-los por suas chaves RC4 - RC4: 03d5ae30a0bd934a23b6a7f0756aa504 y dh8f3@3hdf#hsf23.
Destacamos as atividades destes dois afiliados nas duas próximas seções.
dh8f3@3hdf#hsf23
Este afiliado esteve ativa com esta chave RC4 a partir de junho de 2020. A primeira versão do Zloader utilizada foi a 1.3.27.0 e depois continuou com as versões mais novas disponíveis até a última versão do Zloader disponível até o momento: a 1.8.30.0. Entretanto, sua atividade começou a declinar na segunda metade de 2021 e não vimos nenhuma nova atividade desta botnet desde o fim de novembro de 2021.
Uma das atividades mais interessantes desse afiliado é o uso da capacidade do Zloader de distribuir payloads de forma arbitrária para propagar payloads maliciosos para seus bots. Mais notavelmente, ele propagou várias famílias de ransomware, como a DarkSide, como destacado por esta pesquisa da Guidepoint Security. No entanto, o botmaster não implantou ransomware em todos os seus bots; eles implantaram este tipo de malware principalmente em sistemas pertencentes a redes corporativas. Quando instalado em um sistema, o Zloader reúne várias informações sobre a rede à qual seu host comprometido pertence. Isto permite que os operadores da botnet selecionem payloads específicos, dependendo da rede da vítima.
Este afiliado estava propagando o Zloader principalmente através de e-mails de spam com documentos maliciosos anexos. A configuração estática do Zloader contém uma botnetID, permitindo ao botmaster agrupar diferentes bots em diferentes sub-botnets. As botnetIDs mais prevalentes para esse afiliado no último ano de sua operação foram nut e kev.
Este operador também estava um pouco mais consciente da segurança em comparação com outros clientes do Zloader e usou uma arquitetura em camadas para seus servidores C&C. Geralmente, um simples script proxy era plantado em um site frequentemente legítimo, mas comprometido, e era usado para URLs de C&C de camada 1 em seus bots. Este script simplesmente encaminha todo o tráfego HTTP/HTTPS do bot para o servidor de nível 2, mantendo a localização da real instalação do painel de administração em segredo.
Além de utilizar o Zloader como ponto de entrada para ataques de ransomware, esse afiliado também utilizou as capacidades do Zloader conhecida como “adversário no navegador” (AitB, pela sigla em inglês) para roubar informações sobre vítimas e alterar o conteúdo de várias instituições financeiras e sites de e-commerce sediados nos EUA e Canadá.
03d5ae30a0bd934a23b6a7f0756aa504
Este filiado tem usado o Zloader desde suas primeiras versões e ainda está ativa até hoje. Apesar da última versão disponível do Zloader ser a 1.8.30.0, este afiliado tem mantido a versão 1.6.28.0 desde seu lançamento em outubro de 2020. Podemos apenas especular sobre as razões por trás disto. Uma hipótese é que este afiliado não pagou para ampliar sua cobertura de suporte para o Zloader e, portanto, não tem acesso às versões posteriores.
O operador desta botnet costumava depender exclusivamde ente dos domínios de C&C gerados pela DGA do Zloader e não atualizava seus bots com uma nova lista C&C por mais de um ano, o que significava que todos os servidores de C&C codificados em seus bots ficaram inativos por um longo tempo. Isto mudou em novembro de 2021, quando este afiliada atualizou seus bots com uma lista de novos servidores C&C e também atualizou a configuração estática dos binários recentemente distribuídos para refletir esta mudança. Este esforço foi provavelmente motivado pelo medo de perder o acesso à sua rede de bots caso alguém registre e afunde todos os futuros domínios gerados pela DGA para este atacante.
A Figura 4 mostra a página de login do painel de administração que foi instalada diretamente no servidor C&C codificado na configuração estática do bot.
Algumas das botnetIDs mais destacadas utilizadas por este operador foram: pessoais, googleaktualizacija e, mais recentemente retornam, 909222, 9092ti e 9092us.
Através da análise dos webinjects baixados pelos bots nesta botnet afiliada, percebemos que os interesses do operador são bem amplos. Aparentemente, eles estão interessados em reunir as credenciais de login das vítimas e outros dados pessoais de vários sites de instituições financeiras (bancos, plataformas de trading, etc.), sites de e-commerce (tais como Amazon, Best Buy, Walmart), exchange de criptomoedas, e até mesmo várias plataformas on-line como Google e Microsoft. Foi dado um enfoque especial aos clientes de instituições financeiras dos EUA, Canadá, Japão, Austrália e Alemanha.
Além da coleta de credenciais de login, esse afiliado também utilizou o Zloader para distribuir várias famílias de malware, tais como o popular malware que rouba informações Raccoon.
Distribuição
Este atacante usa vários meios para propagar o Zloader com o uso indevido de anúncios do Google e sites falsos para adultos como seus mais recentes métodos de distribuição escolhidos.
A partir de outubro de 2020, sites falsos para adultos começaram a enviar para seus visitantes payloads maliciosos que se faziam passar por uma atualização Java em um pacote MSI (com o nome de arquivo JavaPlug-in.msi), supostamente necessário para assistir ao vídeo solicitado. Este falso pacote de atualização Java normalmente continha um downloader que fazia o download do próprio Zloader como payload final. Desde abril de 2021, este esquema foi melhorado com a adição de um script para desativar o Microsoft Defender para aumentar ainda mais as chances de comprometer com sucesso o sistema.
Em junho de 2021, este afiliado também começou a promover pacotes tipicamente utilizados em ambientes corporativos. Quando os usuários da internet buscavam um aplicativo popular para download, como o Zoom ou o TeamViewer, talvez lhes fosse apresentado um site de download falso promovido através de um anúncio do Google que tentava enganá-los para fazer o download de um pacote malicioso que se fazia passar pelo aplicativo que eles estavam procurando. Este método de distribuição não só instalou o Zloader como também pode instalar outras ferramentas potencialmente maliciosas, especialmente se o sistema comprometido fosse parte de um domínio do Active Directory. O popular Cobalt Strike Beacon e Atera Agent foram instalados em tais casos. Estas ferramentas podem conceder ao atacante o controle completo do sistema comprometido e resultar em roubo de dados sensíveis da empresa, instalação de outros malwares, tais como ransomware e outras atividades maliciosas que podem gerar perdas significativas para a empresa.
A Figura 5 mostra a lógica para verificar se um sistema pertence a um domínio. Como podemos ver logo abaixo, o Cobalt Strike Beacon é instalado se a lista de domínios confiáveis do sistema não estiver vazia.
A última iteração deste método de distribuição se baseou fortemente no já mencionado Agente Atera, que geralmente era baixado de sites falsos para adultos. Um exemplo do que um visitante veria é mostrado na Figura 6.
A Atera Agent é uma solução legítima de "controle e gerenciamento remoto" usada por empresas de TI para administrar os sistemas de seus clientes. Uma de suas características - execução remota de scripts - foi utilizada nesta campanha para entregar os payloads do Zloader e outros arquivos de ajuda maliciosos. O objetivo destes arquivos auxiliares era apoiar o processo de instalação executando tarefas específicas tais como escalonamento de privilégios, execução de mais amostras, desabilitação do Windows Defender, etc.
Estas tarefas foram geralmente realizadas através de arquivos BAT simples, mas vale mencionar que os atacantes também exploraram uma vulnerabilidade conhecida de verificação de assinatura digital para usar arquivos executáveis legítimos e assinados do Windows com VBScripts maliciosos anexados ao final desses arquivos, onde a seção de assinatura está localizada (ver Figura 7). Para que o arquivo PE permaneça válido, os atacantes também precisam alterar o cabeçalho do PE para alterar o comprimento da seção de assinatura e o checksum. Esta alteração do conteúdo do arquivo não revoga a validade de sua assinatura digital durante o processo de verificação, pois o conteúdo modificado está isento do processo de verificação. Assim, o novo conteúdo malicioso do arquivo pode, portanto, ficar fora do radar. Esta vulnerabilidade é descrita, por exemplo, no CVE-2012-0151 ou CVE-2013-3900, e também nesta publicação produzida pela Check Point Research. Infelizmente, sua correção está desativada por padrão no Windows e, portanto, ainda pode ser mal utilizada de maneira indevida por atacantes em um grande número de sistemas.
Na recente campanha, um trojan Ursnif foi instalado algumas vezes em vez do Zloader, mostrando que este grupo afiliado não depende de uma única família de malware, mas tem mais truques na manga. Um cenário típico deste método de distribuição é mostrado na Figura 8.
Observações finais
Continuamos implacavelmente rastreando as ameaças que são usadas para propagar ransomware, que é uma ameaça contínua à segurança da internet. Como o Zloader está disponível em fóruns clandestinos, pesquisadores da ESET continuarão monitorando qualquer nova atividade vinculada a esta família de malware, após esta operação de interrupção contra suas botnets existentes.
Para quaisquer perguntas sobre nossas pesquisas publicadas no WeLiveSecurity, por favor, entre em contato conosco através do e-mail threatintel@eset.com.
A equipe do ESET Research agora também fornece relatórios de inteligência de APT e feeds de dados. Para o caso de dúvidas sobre este serviço, visite a página do ESET Threat Intelligence.
Indicadores de Comprometimento
Amostras
SHA-1 | Filename | ESET detection name | Description |
---|---|---|---|
4858BC02452A266EA3E1A0DD84A31FA050134FB8 | 9092.dll | Win32/Kryptik.HNLQ trojan | Zloader return botnet as downloaded from https://teamworks455[.]com/_country/check.php |
BEAB91A74563DF8049A894D5A2542DD8843553C2 | 9092.dll us.dll |
Win32/Kryptik.HODI trojan | Zloader 9092us botnet as downloaded from https://endoftheendi[.]com/us.dll |
462E242EF2E6BAD389DAB845C68DD41493F91C89 | N/A | Win32/Spy.Zbot.ADI trojan | Unpacked initial loader component of 9092us botnet. |
30D8BA32DAF9E18E9E3CE564FC117A2FAF738405 | N/A | Win32/Spy.Zbot.ADI trojan | Downloaded Zloader main core component (x86). |
BD989516F902C0B4AFF7BCF32DB511452355D7C5 | N/A | Win64/Spy.Zbot.Q trojan | Downloaded Zloader main core component (x64). |
E7D7BE1F1FE04F6708EFB8F0F258471D856F8F8F | N/A | Win32/Hvnc.AO trojan | Downloaded Zloader HVNC component (x86). |
5AA2F377C73A0E73E7E81A606CA35BC07331EF51 | N/A | Win64/Hvnc.AK trojan | Downloaded Zloader HVNC component (x64). |
23D38E876772A4E28F1B8B6AAF03E18C7CFE5757 | auto.bat | BAT/Agent.PHM trojan | Script used by Atera Agent distribution method. |
9D3E6B2F91547D891F0716004358A8952479C14D | new.bat | BAT/Agent.PHL trojan | Script used by Atera Agent distribution method. |
33FD41E6FD2CCF3DFB0FCB90EB7F27E5EAB2A0B3 | new1.bat | BAT/Shutdown.NKA trojan | Script used by Atera Agent distribution method. |
5A4E5EE60CB674B2BFCD583EE3641D7825D78221 | new2.bat | BAT/Shutdown.NKA trojan | Script used by Atera Agent distribution method. |
3A80A49EFAAC5D839400E4FB8F803243FB39A513 | adminpriv.exe | Win64/NSudo.A potentially unsafe application | NSudo tool used for privilege escalation by distribution scripts. |
F3B3CF03801527C24F9059F475A9D87E5392DAE9 | reboot.dll | Win32/Agent.ADUM trojan | Signed file exploiting CVE-2013-3900 to hide malicious script commands. |
A187D9C0B4BDB4D0B5C1D2BDBCB65090DCEE5D8C | TeamViewer.msi | Win64/TrojanDownloader.Agent.KY trojan | Malicious MSI installer containing downloader used to deliver Zloader. |
F4879EB2C159C4E73139D1AC5D5C8862AF8F1719 | tvlauncher.exe | Win64/TrojanDownloader.Agent.KY trojan | Downloader used to deliver Zloader. |
E4274681989347FABB22050A5AD14FE66FFDC000 | 12.exe | Win32/Kryptik.HOGN trojan | Raccoon infostealer downloaded by Zloader. |
FA1DB6808D4B4D58DE6F7798A807DD4BEA5B9BF7 | racoon.exe | Win32/Kryptik.HODI trojan | Raccoon infostealer downloaded by Zloader. |
Rede
Domínios e URLs utilizadas para distribuição
- https://endoftheendi[.]com
- https://sofftsportal[.]su
- https://pornokeyxxx[.]pw
- https://porno3xgirls[.]website
- https://porno3xgirls[.]space
- https://porno3xgirls[.]fun
- https://porxnoxxx[.]site
- https://porxnoxxx[.]pw
- https://pornoxxxguru[.]space
- https://helpdesksupport072089339.servicedesk.atera[.]com/GetAgent/Msi/?customerId=1&integratorLogin=izunogg1017@gmail.com
- https://helpdesksupport350061558.servicedesk.atera[.]com/GetAgent/Msi/?customerId=1&integratorLogin=Ario.hi@rover.info
- https://clouds222[.]com
- https://teamworks455[.]com
- https://commandaadmin[.]com
- https://cmdadminu[.]com
- https://checksoftupdate[.]com
- https://datalystoy[.]com
- https://updatemsicheck[.]com
Últimos servidores de C&C do Zloader
- https://asdfghdsajkl[.]com/gate.php
- https://lkjhgfgsdshja[.]com/gate.php
- https://kjdhsasghjds[.]com/gate.php
- https://kdjwhqejqwij[.]com/gate.php
- https://iasudjghnasd[.]com/gate.php
- https://daksjuggdhwa[.]com/gate.php
- https://dkisuaggdjhna[.]com/gate.php
- https://eiqwuggejqw[.]com/gate.php
- https://dquggwjhdmq[.]com/gate.php
- https://djshggadasj[.]com/gate.php
URLs usadas para download arbitrário de malware
- https://braves[.]fun/racoon.exe
- https://endoftheendi[.]com/12.exe
Domínios utilizados em recentes ataques de Webinjects do Zloader
- https://dotxvcnjlvdajkwerwoh[.]com
- https://aerulonoured[.]su
- https://rec.kindplanet[.]us
Técnicas de MITRE ATT&CK
Esta tabela foi criada utilizando a versão 10 da estrutura MITRE ATT&CK.
Tactic | ID | Name | Description |
---|---|---|---|
Resource Development | T1583.001 | Acquire Infrastructure: Domains | Several domains were acquired by Zloader to support C&C. |
T1583.004 | Acquire Infrastructure: Server | Several servers were used to host Zloader infrastructure. | |
T1584.004 | Compromise Infrastructure: Server | Some legitimate websites were compromised to host parts of Zloader infrastructure. | |
T1587.001 | Develop Capabilities: Malware | Zloader is malware targeting users of the Windows operating system. | |
T1587.002 | Develop Capabilities: Code Signing Certificates | Some of Zloader's distribution methods use signed malicious binaries. | |
T1587.003 | Develop Capabilities: Digital Certificates | Zloader used digital certificates in HTTPS traffic. | |
T1588.001 | Obtain Capabilities: Malware | Various malware samples are used to distribute Zloader or are distributed by Zloader itself. | |
T1588.002 | Obtain Capabilities: Tool | Various legitimate tools and libraries are used to support Zloader tasks. | |
T1588.006 | Obtain Capabilities: Vulnerabilities | CVE-2013-3900 is exploited in one of Zloader's distribution methods. | |
Initial Access | T1189 | Drive-by Compromise | Zloader operators use Google Ads and fake websites to lure victims into downloading malicious installers. |
Execution | T1059.001 | Command and Scripting Interpreter: PowerShell | PowerShell commands are used to support some of Zloader's distribution methods. |
T1059.003 | Command and Scripting Interpreter: Windows Command Shell | Batch files are used to support some of Zloader's distribution methods. | |
T1059.005 | Command and Scripting Interpreter: Visual Basic | VBScript is used to launch the main Zloader payload. | |
T1106 | Native API | Zloader makes heavy use of dynamic Windows API resolution. | |
T1204.001 | User Execution: Malicious Link | Zloader is commonly distributed through malicious links. | |
T1204.002 | User Execution: Malicious File | Zloader is commonly distributed via malicious MSI installers. | |
T1047 | Windows Management Instrumentation | Zloader uses WMI to gather various system information. | |
Persistence | T1547.001 | Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder | Zloader uses registry run key to establish persistence. |
Privilege Escalation | T1548.002 | Abuse Elevation Control Mechanism: Bypass User Account Control | Several methods are used to bypass UAC mechanisms during Zloader's deployment. |
Defense Evasion | T1055.001 | Process Injection: Dynamic-link Library Injection | Zloader injects its modules into several processes. |
T1140 | Deobfuscate/Decode Files or Information | Zloader stores its modules in an encrypted form to hide their presence. | |
T1562.001 | Impair Defenses: Disable or Modify Tools | Some distribution methods disable Windows Defender prior to the installation of Zloader. | |
T1070.004 | Indicator Removal on Host: File Deletion | Some components of Zloader or its distribution method are removed after successful installation. | |
T1036.001 | Masquerading: Invalid Code Signature | Some of the Zloader installers have been signed using invalid certificates to make them seem more legitimate. | |
T1036.005 | Masquerading: Match Legitimate Name or Location | Some of the Zloader installers mimic names of legitimate applications. | |
T1027.002 | Obfuscated Files or Information: Software Packing | Zloader’s code is obfuscated and its payload is usually packed. | |
T1553.004 | Subvert Trust Controls: Install Root Certificate | Zloader installs browser certificates are installed to support AitB attack. | |
Credential Access | T1557 | Adversary-in-the-Middle | Zloader leverages AitB techniques to intercept selected HTTP/HTTPS traffic. |
T1555.003 | Credentials from Password Stores: Credentials from Web Browsers | Zloader can gather saved credentials from browsers. | |
T1056.001 | Input Capture: Keylogging | Zloader can capture keystrokes and send them to its C&C server. | |
T1539 | Steal Web Session Cookie | Zloader can gather cookies saved by browsers. | |
Discovery | T1482 | Domain Trust Discovery | Zloader gathers information about domain trust relationships. |
T1083 | File and Directory Discovery | Zloader can search for various documents and cryptocurrency wallets. | |
T1057 | Process Discovery | Zloader enumerates running processes. | |
T1012 | Query Registry | Zloader queries registry keys to gather various system information. | |
T1518.001 | Software Discovery: Security Software Discovery | Zloader uses a WMI command to discover installed security software. | |
T1082 | System Information Discovery | Zloader gathers various system information and sends it to its C&C. | |
T1016 | System Network Configuration Discovery | Zloader gathers network interface information and sends to the C&C. | |
T1033 | System Owner/User Discovery | Zloader uses the victim's username to generate a botID to identify a system in a botnet. | |
T1124 | System Time Discovery | Zloader gathers Information about the system’s time zone and sends it to the C&C. | |
Collection | T1560.003 | Archive Collected Data: Archive via Custom Method | Zloader uses RC4 and XOR to encrypt data before sending them to the C&C. |
T1005 | Data from Local System | Zloader can collect documents and cryptocurrency wallets. | |
T1074.001 | Data Staged: Local Data Staging | Zloader saves its collected data to file prior to exfiltration. | |
T1113 | Screen Capture | Zloader has the ability to create screenshots of windows of interest. | |
Command and Control | T1071.001 | Application Layer Protocol: Web Protocols | Zloader uses HTTP/HTTPS for C&C communication. |
T1568.002 | Dynamic Resolution: Domain Generation Algorithms | Zloader uses a DGA as a fallback in samples since 2020-03. | |
T1573.001 | Encrypted Channel: Symmetric Cryptography | Zloader uses RC4 for C&C traffic encryption. Some of the data is additionally XOR encrypted. | |
T1008 | Fallback Channels | Multiple C&C servers are usually present in Zloader configurations to avoid relying on just one. A DGA is also implemented. | |
T1219 | Remote Access Software | Zloader uses a HiddenVNC module is used to support remote access. | |
Exfiltration | T1041 | Exfiltration Over C2 Channel | Zloader exfiltrates gathered data over its C&C communication. |
Impact | T1490 | Inhibit System Recovery | Some of the Zloader distribution methods disable Windows recovery function through bcdedit.exe. |
T1489 | Service Stop | Some of the Zloader distribution methods disable the Windows Defender service. | |
T1529 | System Shutdown/Reboot | Some of the Zloader distribution methods shut down the system after the initial compromise. |