ESET trabajó junto a Microsoft, Black Lotus Labs de Lumen, Palo Alto Networks y otros socios en un esfuerzo por interrumpir las operaciones de las botnets de Zloader, un malware que últimamente ha estado siendo utilizado para distribuir otros códigos maliciosos.

ESET ha colaborado con socios como la Unidad de Crimen Digital de Microsoft, Black Lotus Labs de Lumen, Palo Alto Networks Unit 42, y otros socios en un intento de interrumpir las botnets de Zloader conocidas. ESET contribuyó al proyecto proporcionando análisis técnicos, información estadística y nombres de dominio y direcciones IP conocidos del servidor de comando y control.

Zloader comenzó como un troyano bancario, pero últimamente evolucionó para convertirse en un distribuidor de varias familias de malware, incluidas varias familias de ransomware.

La operación coordinada para la disrupción apuntó a tres botnets específicas, cada una de las cuales usaba una versión diferente del malware Zloader. Los investigadores de ESET ayudaron con la identificación de 65 dominios que estos operadores de las botnets habían utilizado recientemente y que fueron secuestrados para que esta operación de interrupción fuera efectiva. Además de eso, los bots de Zloader se apoyan en un canal de comunicación de respaldo que genera automáticamente nombres de dominio únicos que se pueden usar para recibir comandos de sus bot masters. Esta técnica, conocida como algoritmo de generación de dominios (DGA, por sus siglas en inglés), es utilizada para generar 32 dominios diferentes por día, por botnet. Para asegurarse de que los operadores de las botnets no puedan usar este canal lateral para recuperar el control de sus botnets, se tomó el control de 319 dominios adicionales ya registrados generados por este algoritmo y el equipo de trabajo también está tomando medidas para bloquear el registro de dominios DGA que puedan ser generados en el futuro. La investigación de Microsoft también identificó a Denis Malikov como autor de un componente utilizado en las botnets para distribuir ransomware.

Lectura recomendada: ¿Qué es una botnet? Conoce al control remoto de los ciberdelincuentes

Contexto

Zloader es una de las tantas familias de malware del tipo troyano bancario que se inspiraron fuertemente en el famoso troyano bancario Zeus, cuyo código fuente se filtró en 2011. Ya se ha publicado mucha información sobre este malware, siendo el paper de Malwarebytes y HYAS el más detallado desde el punto de vista técnico.

Este artículo no se centrará en los aspectos técnicos profundos del troyano, sino que cubrirá los detalles de su funcionamiento e infraestructura.

La primera versión (1.0.0.0) de Zloader que pudimos encontrar se compiló el 9 de noviembre de 2019, el mismo día en que se anunció y publicitó en foros clandestinos con el nombre “Silent Night”. Los investigadores de ESET han estado monitoreando de cerca su actividad y evolución desde entonces, brindándonos una gran perspectiva sobre la forma en que opera Zloader y su infraestructura.

Desde ese entonces hemos analizado alrededor de 14 000 muestras únicas de Zloader a través de nuestro sistema de seguimiento automático, lo que nos ayudó a descubrir más de 1300 servidores de comando y control (C&C) únicos. En marzo de 2020, Zloader implementó un algoritmo de generación de dominios (DGA) que nos permitió descubrir alrededor de 300 dominios activos adicionales registrados por operadores de Zloader y utilizados como servidores de C&C.

Hemos visto algunos picos en la popularidad de Zloader entre los actores de amenazas, principalmente durante su primer año de existencia, pero su uso comenzó a disminuir durante 2021 y solo un par de actores lo usaron para sus intenciones maliciosas. Sin embargo, esto puede cambiar en el futuro, ya que hemos visto muestras de la versión 2.0 en actividad (compiladas en julio de 2021). Nuestros hallazgos muestran que estas muestras eran solo versiones de prueba, pero estaremos monitoreando de cerca esta nueva actividad y su evolución. Debido a la baja prevalencia y la naturaleza de esta nueva versión, toda la información que sigue a continuación corresponde a la versión 1.x de Zloader.

Como ya se mencionó, Zloader, al igual que otros malware personalizables y disponibles para la compra o descarga, se anuncia y vende en foros clandestinos. Cuando es adquirido, los afiliados reciben todo lo que necesitan para configurar sus propios servidores con paneles de administración y comenzar a construir sus bots. Los afiliados son entonces responsables de la distribución de bots y el mantenimiento de sus botnets.

Como se aprecia en la Figura 1, hemos observado campañas distribuyendo Zloader en muchos países, siendo Estados Unidos el país en el que se observó la mayor actividad.

Figura 1. Tasa de detección de campañas de Zloader en todo el mundo (basado en datos desde febrero de 2020)

Varios grupos de afiliados han utilizado Zloader y cada uno de ellos ha utilizado un enfoque diferente para la distribución del malware, que incluye:

  • Kit de explotación RIG
  • Correos de spam que utilizan el tema del COVID-19 y que incluyen documentos maliciosos de Microsoft Word adjuntos
  • Variantes de un falso correo de spam que incluye un documento con macros de XLS maliciosas
  • Uso malicioso de los anuncios de Google

En las siguientes secciones veremos los últimos métodos de distribución desarrollados.

Características internas de Zloader

Zloader tiene una arquitectura modular, descargando y utilizando sus módulos según sea necesario. Los módulos que soporta Zloader se muestran en la Tabla 1 y la Tabla 2.

Tabla 1. Descripción general de los módulos maliciosos utilizados por Zloader

Malicious modules Functionality
Loader module Loading the core module
Core module (x86) Main functionality for x86 processes
Core module (x64) Main functionality for x64 processes
hvnc32 module Hidden VNC (x86) for remote PC control
hvnc64 module Hidden VNC (x64) for remote PC control

Tabla 2. Herramientas legítimas de las que abusa Zloader para llevar adelante sus tareas maliciosas

Helper modules Functionality
zlib1.dll Used to support AitB attacks
libssl.dll Used to support AitB attacks
certutil.exe (+necessary DLL files) Used to support AitB attacks
sqlite3.dll Used for processing browser data

El primer componente de Zloader es un loader que se usa para descargar o cargar (si ya se descargó) el módulo principal. Este módulo principal es responsable de descargar y cargar módulos adicionales y de realizar sus propias tareas maliciosas.

Las características más notables de Zloader son:

  • Capacidad para robar varios tipos de datos de los navegadores y de Microsoft Outlook, y robar billeteras de criptomonedas
  • Registro de pulsaciones de teclas (Keylogging)
  • Compatibilidad con HiddenVNC para permitir que el atacante controle remotamente los sistemas comprometidos
  • Compatibilidad con webinjects similares a Zeus, captura de formularios y captura de pantalla de formularios
  • Ejecución de comandos arbitrarios (por ejemplo, descargar y ejecutar otro malware)

Toda la comunicación entre los bots y sus servidores C&C se realiza a través de HTTP/HTTPS y, independientemente de cuál se utilice, los datos se cifran mediante RC4. Algunos de los datos también se cifran mediante un algoritmo basado en XOR conocido como “Visual Encrypt”. La clave RC4 es única para cada afiliado como se describe en la siguiente sección. La figura 2 muestra la configuración estática de un bot. Contiene una lista de hasta diez URL de C&C hardcodeadas junto con otros datos importantes para la comunicación, como el botnetID para ayudar al operador a filtrar fácilmente los datos de diferentes campañas, la firma para la verificación de comunicaciones, etc. Si es necesario, la lista de C&C de un bot se puede actualizar fácilmente emitiendo un comando desde el panel de administración del operador.

Figura 2. Configuración estática de Zloader

Si ninguno de los servidores hardcodeados responde, un bot Zloader puede usar su DGA como mecanismo de respaldo. Todos los días se genera una lista de 32 nuevos dominios únicos para cada afiliado en función del día actual recuperado por la función GetLocalTime. Las URL generadas tienen el formato https://<20_random_lowercase_ASCII_letters>.com/post.php

Infraestructura de la botnet y afiliados

La clave de cifrado RC4 utilizada en la comunicación de la botnet es única para cada afiliado y está vinculada a la instalación del panel de administración del afiliado. Esta singularidad nos brinda la oportunidad de agrupar muestras de Zloader y rastrear los métodos de distribución de los afiliados y la evolución de sus campañas.

Desde que comenzamos a monitorear su actividad hemos observado más de 25 llaves RC4 diferentes. Vale la pena señalar que algunos de estos afiliados estuvieron activos durante un período muy corto; algunos de ellos probablemente solo estaban probando las funciones de Zloader. También es posible que algunos operadores simplemente instalaron nuevamente su panel de administración en algún momento y continúen su operación con una nueva clave RC4. En la Figura 3 se puede observar una cronología de la actividad de los afiliados más notables, así como varias fechas de lanzamiento de la versión de Zloader.

Figura 3. Actividad de algunos de los afiliados más destacados

Como se puede ver en la Figura 5, desde octubre de 2020, la mayor parte de la actividad de Zloader se debió a solo dos afiliados. Podemos distinguirlos por sus claves RC4: 03d5ae30a0bd934a23b6a7f0756aa504 y dh8f3@3hdf#hsf23.

Cubrimos las actividades de estos dos afiliados en las próximas dos secciones.

dh8f3@3hdf#hsf23

Este afiliado estuvo activo bajo esta clave RC4 en particular a partir de junio de 2020. La primera versión de Zloader que usó fue la 1.3.27.0 y luego siguió con las versiones más nuevas hasta la última versión de Zloader disponible a la fecha: 1.8.30.0. Sin embargo, su actividad comenzó a disminuir en la segunda mitad de 2021 y no hemos visto ninguna actividad nueva de esta botnet desde finales de noviembre de 2021.

Una de las actividades más interesantes de este afiliado es que usó la capacidad de Zloader para desplegar payloads de forma arbitraria y distribuir payloads maliciosos a sus bots. En particular, propagó varias familias de ransomware como DarkSide, como lo destaca esta investigación de Guidepoint Security. Sin embargo, el botmaster no desplegó ransomware en todos sus bots; sino que desplegaron este tipo de malware principalmente en sistemas pertenecientes a redes corporativas. Cuando se instala en un sistema, Zloader recopila distinto tipo de información de la red comprometida. Esto permite a los operadores de las botnet elegir payloads específicos según la red de la víctima.

Este afiliado estaba propagando Zloader principalmente a través de correos de malspam con documentos maliciosos adjuntos. La configuración estática de Zloader contiene un botnetID, lo que permite al botmaster agrupar diferentes bots en diferentes sub-botnets. Los botnetID más frecuentes para este afiliado en el último año de su funcionamiento fueron nut y kev.

Este operador también era un poco más consciente de la seguridad en comparación con otros clientes de Zloader y usaba una arquitectura en niveles para sus servidores C&C. Por lo general, se plantó un simple script de proxy en un sitio web a generalmente legítimo pero comprometido y se usó para las URL de C&C de nivel 1 en sus bots. Este script simplemente reenvía todo el tráfico HTTP/HTTPS del bot al servidor de nivel 2, manteniendo en secreto la ubicación de la instalación real del panel de administración.

Además de usar Zloader como punto de entrada para ataques de ransomware, este afiliado también usó una capacidad de Zloader conocida como “adversario en el navegador” (AitB, por sus siglas en inglés) que permite robar información de las víctimas y alterar el contenido de varias instituciones financieras y sitios de comercio electrónico con sede en Estados Unidos y Canadá.

03d5ae30a0bd934a23b6a7f0756aa504

Este afiliado ha estado usando Zloader desde sus primeras versiones y todavía está activo a la fecha. A pesar de que la última versión disponible de Zloader es la 1.8.30.0, este afiliado se ha quedado con la versión 1.6.28.0 desde su lanzamiento en octubre de 2020. Solo podemos especular sobre las razones detrás de esto. Una hipótesis es que este afiliado no pagó para extender su cobertura de soporte para Zloader y, por lo tanto, no tiene acceso a versiones posteriores.

El operador de esta botnet solía depender únicamente de los dominios de C&C generados por la DGA de Zloader y no actualizó sus bots con una nueva lista de C&C durante más de un año, lo que significa que todos los servidores de C&C hardcodeados en sus bots estuvieron inactivos durante mucho tiempo. Esto cambió en noviembre de 2021 cuando este afiliado actualizó sus bots con una lista de nuevos servidores C&C y también actualizó la configuración estática de los binarios recién distribuidos para reflejar este cambio. Este esfuerzo probablemente fue motivado por el temor de perder el acceso a su botnet en caso de que alguien se registre y socave todos los futuros dominios generados por DGA para este actor.

La Figura 4 muestra la página de inicio de sesión del panel de administración que se instaló directamente en el servidor C&C hardcodeado en la configuración estática del bot.

Figura 4. Página de inicio de sesión del panel de administración

Algunos de los botnetID más destacados que fueron utilizados por este operador son: personal, googleaktualizacija y, más recientemente, return, 909222, 9092ti y 9092us.

A través del análisis de los webinjects descargados por los bots en esta botnet afiliada, pudimos ver que los intereses del operador son muy amplios. Aparentemente, están interesados ​​​​en recopilar las credenciales de inicio de sesión de la víctima y otros datos personales de varios sitios web de instituciones financieras (bancos, plataformas de trading, etc.), sitios de comercio electrónico (como Amazon, Best Buy, Walmart), exchange de criptomonedas e incluso varios sitios en línea. plataformas como Google y Microsoft. Se prestó especial atención a los clientes de instituciones financieras de Estados Unidos, Canadá, Japón, Australia y Alemania.

Además de la recolección de credenciales de inicio de sesión, este afiliado también usó Zloader para distribuir varias familias de malware, como el popular malware que roba información Raccoon.

Distribución

Este actor de amenazas utiliza varios medios para difundir Zloader abusando de manera indebida de los anuncios de Google y de falsos sitios para adultos como sus últimos métodos de distribución elegidos.

A partir de octubre de 2020, los sitios falsos para adultos comenzaron a enviar a sus visitantes payloads maliciosos que se hacían pasar por una actualización de Java en un paquete MSI (con el nombre de archivo JavaPlug-in.msi), supuestamente necesario para ver el video solicitado. Este falso paquete de actualización de Java generalmente contenía un downloader que descargaba Zloader como payload final. Desde abril de 2021, este esquema se ha mejorado al agregar un script para deshabilitar Microsoft Defender para aumentar aún más las posibilidades de comprometer el sistema con éxito.

En junio de 2021, este afiliado también comenzó a promocionar paquetes típicamente utilizados en entornos corporativos. Cuando los usuarios de Internet buscaban una aplicación popular para descargar, como Zoom o TeamViewer, es posible que se les presentara como opción un sitio de descarga falso promocionado a través de anuncios de Google con el objetivo de intentar engañarlos para que descarguen un paquete malicioso haciéndose pasar por la aplicación que estaban buscando. Este método de distribución no solo instalaba Zloader, sino que también podía instalar otras herramientas potencialmente maliciosas, especialmente si el sistema comprometido formaba parte de un dominio de Active Directory. El popular Cobalt Strike Beacon y Atera Agent se vieron instalados en tales casos. Estas herramientas podrían otorgar al atacante el control total del sistema comprometido y pueden provocar el robo de datos confidenciales de la empresa, la instalación de otro malware como ransomware y otras actividades maliciosas que generan pérdidas significativas para la empresa.

La figura 5 muestra la lógica para verificar si un sistema pertenece a un dominio. Como se ve a continuación, Cobalt Strike Beacon se instala si la lista de dominios de confianza del sistema no está vacía.

Figura 5. Script de PowerShell responsable de la instalación de Cobalt Strike Beacon

La última versión de este método de distribución se utilizó fuertemente para el anteriormente mencionado Atera Agent, que generalmente se descargaba de sitios falsos para adultos. En la Figura 6 se muestra un ejemplo de lo que vería un visitante.

Figura 6. Sitio falso para adultos que atrae a los usuarios para que descarguen la herramienta de administración remota Atera

Atera Agent es una solución legítima de “control y gestión remota” utilizada por las empresas de TI para administrar los sistemas de sus clientes. Una de sus características, la ejecución remota de scripts, se utilizó en esta campaña para entregar payloads de Zloader y otros archivos auxiliares maliciosos. El propósito de estos archivos auxiliares era respaldar el proceso de instalación mediante la ejecución de tareas específicas, como la escalada de privilegios, la ejecución de más muestras, la desactivación de Windows Defender, etc.

Estas tareas generalmente se lograron a través de archivos BAT simples, pero vale la pena mencionar que los atacantes también explotaron una vulnerabilidad de verificación de firma digital conocida para usar archivos ejecutables de Windows legítimos y firmados con VBScripts maliciosos agregados al final del archivo, donde se encuentra la sección de firma. (ver Figura 7). Para que el archivo PE siga siendo válido, los atacantes también deben modificar el encabezado PE para modificar la longitud y la suma de comprobación de la sección de la firma. Esta alteración del contenido del archivo no revoca la validez de su firma digital durante el proceso de verificación porque el contenido modificado queda exento del proceso de verificación. Por lo tanto, el nuevo contenido malicioso del archivo puede permanecer fuera del radar. Esta vulnerabilidad se describe, por ejemplo, en CVE-2012-0151 o CVE-2013-3900, y también en esta publicación en el blog de Check Point Research. Desafortunadamente, su solución está deshabilitada de manera predeterminada en Windows y, por lo tanto, los atacantes aún pueden usarla de manera indebida en una gran cantidad de sistemas.

Figura 7. Ejemplo de un script añadido a la sección de firma del archivo PE

En la campaña reciente, a veces se instaló un troyano Ursnif en lugar de Zloader, lo que demuestra que este grupo afiliado no depende de una sola familia de malware, sino que tiene más trucos bajo la manga. Un escenario típico de este método de distribución se muestra en la Figura 8.

Figura 8. Método de distribución típico utilizando Atera Agent

Palabras de cierre

Seguimos rastreando incansablemente las amenazas que se utilizan para propagar ransomware, que es una amenaza constante y que afecta a la seguridad de Internet. Dado que Zloader está disponible en foros clandestinos, los investigadores de ESET monitorearán cualquier actividad nueva relacionada con esta familia de malware luego de esta operación de disrupción contra sus botnets existentes.

Por cualquier consulta sobre esta y otra investigación publicada en WeLIveSecurity, comuníquese vía threatintel@eset.com.


ESET Research ahora ofrece también reportes de inteligencia de APT privados y feeds de datos. Por cualqjuier consulta acerca de este servicio, visite la página ESET Threat Intelligence.

Indicadores de Compromiso

Muestras

SHA-1 Filename ESET detection name Description
4858BC02452A266EA3E1A0DD84A31FA050134FB8 9092.dll Win32/Kryptik.HNLQ trojan Zloader return botnet as downloaded from https://teamworks455[.]com/_country/check.php
BEAB91A74563DF8049A894D5A2542DD8843553C2 9092.dll
us.dll
Win32/Kryptik.HODI trojan Zloader 9092us botnet as downloaded from https://endoftheendi[.]com/us.dll
462E242EF2E6BAD389DAB845C68DD41493F91C89 N/A Win32/Spy.Zbot.ADI trojan Unpacked initial loader component of 9092us botnet.
30D8BA32DAF9E18E9E3CE564FC117A2FAF738405 N/A Win32/Spy.Zbot.ADI trojan Downloaded Zloader main core component (x86).
BD989516F902C0B4AFF7BCF32DB511452355D7C5 N/A Win64/Spy.Zbot.Q trojan Downloaded Zloader main core component (x64).
E7D7BE1F1FE04F6708EFB8F0F258471D856F8F8F N/A Win32/Hvnc.AO trojan Downloaded Zloader HVNC component (x86).
5AA2F377C73A0E73E7E81A606CA35BC07331EF51 N/A Win64/Hvnc.AK trojan Downloaded Zloader HVNC component (x64).
23D38E876772A4E28F1B8B6AAF03E18C7CFE5757 auto.bat BAT/Agent.PHM trojan Script used by Atera Agent distribution method.
9D3E6B2F91547D891F0716004358A8952479C14D new.bat BAT/Agent.PHL trojan Script used by Atera Agent distribution method.
33FD41E6FD2CCF3DFB0FCB90EB7F27E5EAB2A0B3 new1.bat BAT/Shutdown.NKA trojan Script used by Atera Agent distribution method.
5A4E5EE60CB674B2BFCD583EE3641D7825D78221 new2.bat BAT/Shutdown.NKA trojan Script used by Atera Agent distribution method.
3A80A49EFAAC5D839400E4FB8F803243FB39A513 adminpriv.exe Win64/NSudo.A potentially unsafe application NSudo tool used for privilege escalation by distribution scripts.
F3B3CF03801527C24F9059F475A9D87E5392DAE9 reboot.dll Win32/Agent.ADUM trojan Signed file exploiting CVE-2013-3900 to hide malicious script commands.
A187D9C0B4BDB4D0B5C1D2BDBCB65090DCEE5D8C TeamViewer.msi Win64/TrojanDownloader.Agent.KY trojan Malicious MSI installer containing downloader used to deliver Zloader.
F4879EB2C159C4E73139D1AC5D5C8862AF8F1719 tvlauncher.exe Win64/TrojanDownloader.Agent.KY trojan Downloader used to deliver Zloader.
E4274681989347FABB22050A5AD14FE66FFDC000 12.exe Win32/Kryptik.HOGN trojan Raccoon infostealer downloaded by Zloader.
FA1DB6808D4B4D58DE6F7798A807DD4BEA5B9BF7 racoon.exe Win32/Kryptik.HODI trojan Raccoon infostealer downloaded by Zloader.

Red

Dominios y URL utilizados para la distribución

  • https://endoftheendi[.]com
  • https://sofftsportal[.]su
  • https://pornokeyxxx[.]pw
  • https://porno3xgirls[.]website
  • https://porno3xgirls[.]space
  • https://porno3xgirls[.]fun
  • https://porxnoxxx[.]site
  • https://porxnoxxx[.]pw
  • https://pornoxxxguru[.]space
  • https://helpdesksupport072089339.servicedesk.atera[.]com/GetAgent/Msi/?customerId=1&integratorLogin=izunogg1017@gmail.com
  • https://helpdesksupport350061558.servicedesk.atera[.]com/GetAgent/Msi/?customerId=1&integratorLogin=Ario.hi@rover.info
  • https://clouds222[.]com
  • https://teamworks455[.]com
  • https://commandaadmin[.]com
  • https://cmdadminu[.]com
  • https://checksoftupdate[.]com
  • https://datalystoy[.]com
  • https://updatemsicheck[.]com

Últimos servidores de C&C de Zloader 

  • https://asdfghdsajkl[.]com/gate.php
  • https://lkjhgfgsdshja[.]com/gate.php
  • https://kjdhsasghjds[.]com/gate.php
  • https://kdjwhqejqwij[.]com/gate.php
  • https://iasudjghnasd[.]com/gate.php
  • https://daksjuggdhwa[.]com/gate.php
  • https://dkisuaggdjhna[.]com/gate.php
  • https://eiqwuggejqw[.]com/gate.php
  • https://dquggwjhdmq[.]com/gate.php
  • https://djshggadasj[.]com/gate.php

URL utilizadas para descargar malware de forma arbitraria

  • https://braves[.]fun/racoon.exe
  • https://endoftheendi[.]com/12.exe

Dominios utilizados en recientes ataques de Webinjects de Zloader

  • https://dotxvcnjlvdajkwerwoh[.]com
  • https://aerulonoured[.]su
  • https://rec.kindplanet[.]us

Técnicas de MITRE ATT&CK

Esta tabla fue creada utilizando la versión 10 del framework MITRE ATT&CK.

Tactic ID Name Description
Resource Development T1583.001 Acquire Infrastructure: Domains Several domains were acquired to support C&C.
T1583.004 Acquire Infrastructure: Server Several servers were used to host Zloader infrastructure.
T1584.004 Compromise Infrastructure: Server Some legitimate websites were compromised to host parts of Zloader infrastructure.
T1587.001 Develop Capabilities: Malware Zloader is malware targeting users of the Windows operating system.
T1587.002 Develop Capabilities: Code Signing Certificates Some of the distribution methods use signed malicious binaries.
T1587.003 Develop Capabilities: Digital Certificates Digital certificates are used in HTTPS traffic.
T1588.001 Obtain Capabilities: Malware Various malware samples are used to distribute Zloader or are distributed by Zloader itself.
T1588.002 Obtain Capabilities: Tool Various legitimate tools and libraries are used to support Zloader tasks.
T1588.006 Obtain Capabilities: Vulnerabilities CVE-2013-3900 is exploited in one of the distribution methods.
Initial Access T1189 Drive-by Compromise Google Ads and fake websites are used to lure victims into downloading malicious installers.
Execution T1059.001 Command and Scripting Interpreter: PowerShell PowerShell commands are used to support some distribution methods.
T1059.003 Command and Scripting Interpreter: Windows Command Shell Batch files are used to support some distribution methods.
T1059.005 Command and Scripting Interpreter: Visual Basic VBScript is used to launch main Zloader payload.
T1106 Native API Zloader makes heavy use of dynamic Windows API resolution.
T1204.001 User Execution: Malicious Link Zloader is commonly distributed through malicious links.
T1204.002 User Execution: Malicious File Zloader is commonly distributed via malicious MSI installers.
T1047 Windows Management Instrumentation Zloader uses WMI to gather various system information.
Persistence T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Zloader uses registry run key to establish persistence.
Privilege Escalation T1548.002 Abuse Elevation Control Mechanism: Bypass User Account Control Several methods are used to bypass UAC mechanisms.
Defense Evasion T1055.001 Process Injection: Dynamic-link Library Injection Zloader injects its modules into several processes.
T1140 Deobfuscate/Decode Files or Information Zloader stores its modules in an encrypted form to hide their presence.
T1562.001 Impair Defenses: Disable or Modify Tools Some distribution methods disable Windows Defender prior to the installation of Zloader.
T1070.004 Indicator Removal on Host: File Deletion Some components of Zloader or its distribution method are removed after successful installation.
T1036.001 Masquerading: Invalid Code Signature Some installers have been signed using invalid certificates to make them seem more legitimate.
T1036.005 Masquerading: Match Legitimate Name or Location Some installers mimic names of legitimate applications.
T1027.002 Obfuscated Files or Information: Software Packing Zloader’s code is obfuscated and its payload is usually packed.
T1553.004 Subvert Trust Controls: Install Root Certificate Browser certificates are installed to support AitB attack.
Credential Access T1557 Adversary-in-the-Middle Zloader leverages AitB techniques to intercept selected HTTP/HTTPS traffic.
T1555.003 Credentials from Password Stores: Credentials from Web Browsers Zloader can gather saved credentials from browsers.
T1056.001 Input Capture: Keylogging Zloader can capture keystrokes and send them to its C&C server.
T1539 Steal Web Session Cookie Zloader can gather cookies saved by browsers.
Discovery T1482 Domain Trust Discovery Zloader gathers information about domain trust relationships.
T1083 File and Directory Discovery Zloader can search for various documents and cryptocurrency wallets.
T1057 Process Discovery Zloader enumerates running processes.
T1012 Query Registry Zloader queries registry keys to gather various system information.
T1518.001 Software Discovery: Security Software Discovery A WMI command is used to discover installed security software.
T1082 System Information Discovery Zloader gathers various system information and sends it to its C&C.
T1016 System Network Configuration Discovery Network interface information is gathered and sent to the C&C.
T1033 System Owner/User Discovery Username is used to generate a botID to identify a system in a botnet.
T1124 System Time Discovery Information about the system’s time zone is sent to the C&C.
Collection T1560.003 Archive Collected Data: Archive via Custom Method Zloader uses RC4 and XOR to encrypt data before sending them to the C&C.
T1005 Data from Local System Zloader can collect documents and cryptocurrency wallets.
T1074.001 Data Staged: Local Data Staging Zloader saves its collected data to file prior to exfiltration.
T1113 Screen Capture Zloader has the ability to create screenshots of windows of interest.
Command and Control T1071.001 Application Layer Protocol: Web Protocols Zloader uses HTTP/HTTPS for C&C communication.
T1568.002 Dynamic Resolution: Domain Generation Algorithms A DGA is used as a fallback in samples since 2020-03.
T1573.001 Encrypted Channel: Symmetric Cryptography RC4 is used for C&C traffic encryption. Some of the data is additionally XOR encrypted.
T1008 Fallback Channels Multiple C&C servers are usually present in Zloader configurations to avoid relying on just one. A DGA is also implemented.
T1219 Remote Access Software HiddenVNC module is used to support remote access.
Exfiltration T1041 Exfiltration Over C2 Channel Zloader exfiltrates gathered data over its C&C communication.
Impact T1490 Inhibit System Recovery Some of the distribution methods disable Windows recovery function through bcdedit.exe.
T1489 Service Stop Some of the distribution methods disable the Windows Defender service.
T1529 System Shutdown/Reboot Some of the distribution methods shut down the system after the initial compromise.

Fuente info
Autor: Jean-Ian Boutin