ผู้ไม่ประสงค์ดีนำมัลแวร์ Zeus Banking Trojan กลับมาพัฒนาเป็น Zloader หรือ Terdot, DeLoader, Silent Night ด้วยการเพิ่มความสามารถในการต่อต้านการวิเคราะห์ นอกจากนี้ยังสามารถโหลด Payload ขั้นถัดไป และเข้ารหัส RSA ได้เช่นเดียวกับการอัปเดตอัลกอริธึมของการสร้างโดเมน (DGA) อีกด้วย
การพัฒนาของ ZLoader มีคุณสมบัติในการต่อต้านการวิเคราะห์ที่จำกัดการดำเนินการของไบนารี่ไว้เฉพาะกับเครื่องที่ติดไวรัส ซึ่งเวอร์ชันที่สูงกว่า 2.4.1.0 จะทำให้มัลแวร์ยุติการทำงานทันทีหากไม่พบ Registry Key/Value ที่ถูกสร้างขึ้นโดยเฉพาะ
Registry Key/Value จะถูกสร้างขึ้นตาม Hardcoded Seed ที่แตกต่างกันหากคู่ของ Registry Key/Value ถูกสร้างขึ้น มัลแวร์จะทำการแทรกตัวเองเข้าไปในกระบวนการทำงานใหม่ได้สำเร็จ
Zloader ใช้เทคนิคนี้เพื่อจัดเก็บข้อมูลการติดตั้งและหลีกเลี่ยงการดำเนินการซ้อนกันบนโฮสต์อื่นๆ ที่มีการใช้งาน Zeus เวอร์ชัน 2.0.8 โดยอาศัยโครงสร้างข้อมูลของ PeSettings เพื่อจัดเก็บการกำหนดค่าแทน
คำแนะนำ
-ระมัดระวังไฟล์ที่ถูกแนบมากับ Email
-หลีกเลี่ยงโฆษณาตาม Google ต่างๆ
-ใช้โปรแกรมป้องกันไวรัส
-อัปเดตซอฟต์แวร์และระบบสม่ำเสมอ
-สำรองข้อมูลเป็นประจำ
Ref: https://thehackernews.com/2024/05/zloader-malware-evolves-with-anti.html