MinhSec
Writer
Zloader, một trojan mô-đun dựa trên mã nguồn Zeus, từng xuất hiện năm 2015 để phục vụ cho gian lận tài chính. Sau gần hai năm gián đoạn, nó đã tái xuất vào tháng 9/2023 với diện mạo hoàn toàn mới, trở thành một trong những công cụ nguy hiểm nhất cho tội phạm mạng nhằm xâm nhập vào doanh nghiệp và mở đường cho các cuộc tấn công ransomware.
Ban đầu chỉ chuyên đánh cắp dữ liệu ngân hàng, Zloader nay hoạt động như một “nhà môi giới truy cập ban đầu”, bán quyền truy cập trái phép cho tin tặc. Thay vì phát tán ồ ạt, nhóm vận hành Zloader chuyển sang phương pháp nhắm mục tiêu tinh vi, lựa chọn kỹ lưỡng các tổ chức giá trị cao để tối đa hóa thiệt hại. Kiến trúc mô-đun cho phép chúng bổ sung công cụ hoặc tải trọng khác khi cần, biến Zloader thành nền tảng linh hoạt cho tấn công nhiều giai đoạn.
Các phiên bản mới nhất của Zloader, điển hình là 2.11.6.0 và 2.13.7.0, đã được nâng cấp mạnh về khả năng ẩn mình. Chúng sử dụng nhiều lớp mã hóa, tên tệp phổ biến như “Updater.exe” để hòa lẫn trong hệ thống, đồng thời bổ sung kỹ thuật kiểm tra môi trường nhằm vô hiệu hóa khi phát hiện hộp cát hoặc công cụ phân tích bảo mật. Điều này khiến việc theo dõi và gỡ bỏ trở nên khó khăn hơn bao giờ hết.
Đặc biệt, Zloader còn ưu tiên khả năng ẩn danh thay vì cố gắng chiếm quyền cao nhất trên hệ thống, giúp nó hoạt động lâu dài trong mạng doanh nghiệp mà ít bị chú ý. Với sự tiến hóa này, Zloader phản ánh xu hướng chung của tội phạm mạng: tận dụng lại những công cụ đã có, kết hợp với kỹ thuật hiện đại để phục vụ cho các chiến dịch ransomware quy mô lớn.
cybersecuritynews.com
Ban đầu chỉ chuyên đánh cắp dữ liệu ngân hàng, Zloader nay hoạt động như một “nhà môi giới truy cập ban đầu”, bán quyền truy cập trái phép cho tin tặc. Thay vì phát tán ồ ạt, nhóm vận hành Zloader chuyển sang phương pháp nhắm mục tiêu tinh vi, lựa chọn kỹ lưỡng các tổ chức giá trị cao để tối đa hóa thiệt hại. Kiến trúc mô-đun cho phép chúng bổ sung công cụ hoặc tải trọng khác khi cần, biến Zloader thành nền tảng linh hoạt cho tấn công nhiều giai đoạn.
Kỹ thuật né tránh và chống phân tích ngày càng tinh vi
Các phiên bản mới nhất của Zloader, điển hình là 2.11.6.0 và 2.13.7.0, đã được nâng cấp mạnh về khả năng ẩn mình. Chúng sử dụng nhiều lớp mã hóa, tên tệp phổ biến như “Updater.exe” để hòa lẫn trong hệ thống, đồng thời bổ sung kỹ thuật kiểm tra môi trường nhằm vô hiệu hóa khi phát hiện hộp cát hoặc công cụ phân tích bảo mật. Điều này khiến việc theo dõi và gỡ bỏ trở nên khó khăn hơn bao giờ hết.
Đặc biệt, Zloader còn ưu tiên khả năng ẩn danh thay vì cố gắng chiếm quyền cao nhất trên hệ thống, giúp nó hoạt động lâu dài trong mạng doanh nghiệp mà ít bị chú ý. Với sự tiến hóa này, Zloader phản ánh xu hướng chung của tội phạm mạng: tận dụng lại những công cụ đã có, kết hợp với kỹ thuật hiện đại để phục vụ cho các chiến dịch ransomware quy mô lớn.
Zloader Malware Repurposed to Act as Entry Point Into Corporate Environments to Deploy Ransomware
Zloader resurfaces with advanced evasion and persistence, evolving from banking trojan to key ransomware entry point in enterprises.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview