Mã độc YiBackdoor mới có sự trùng lặp mã nguồn lớn với IcedID và Latrodectus

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một họ mã độc mới có tên YiBackdoor, được phát hiện có sự trùng lặp đáng kể trong mã nguồn với IcedID và Latrodectus.

"Mối liên hệ chính xác với YiBackdoor vẫn chưa rõ ràng, nhưng nó có thể được sử dụng cùng với Latrodectus và IcedID trong các cuộc tấn công," Zscaler ThreatLabz cho biết trong một báo cáo hôm thứ Ba. "YiBackdoor có khả năng thực thi các lệnh tùy ý, thu thập thông tin hệ thống, chụp ảnh màn hình và triển khai các plugin để mở rộng động các chức năng của mã độc."

Công ty an ninh mạng cho biết họ lần đầu tiên xác định mã độc này vào tháng 6 năm 2025, và nó có thể đóng vai trò là tiền đề cho các cuộc khai thác tiếp theo, chẳng hạn như tạo điều kiện truy cập ban đầu cho các cuộc tấn công ransomware. Đến nay, chỉ có số lượng hạn chế các lần triển khai YiBackdoor được phát hiện, cho thấy nó hiện đang trong quá trình phát triển hoặc thử nghiệm.

Với những điểm tương đồng giữa YiBackdoor, IcedID và Latrodectus, các nhà nghiên cứu đánh giá với mức độ tin cậy từ trung bình đến cao rằng mã độc mới này là sản phẩm của cùng các nhà phát triển đứng sau hai loader kia. Cũng cần lưu ý rằng bản thân Latrodectus được cho là phiên bản kế nhiệm của IcedID.

YiBackdoor có các kỹ thuật chống phân tích thô sơ để né tránh môi trường ảo hóa và sandbox, đồng thời tích hợp khả năng inject chức năng cốt lõi vào tiến trình "svchost.exe". Khả năng duy trì trên máy chủ được thực hiện bằng cách sử dụng khóa registry Windows Run.

"YiBackdoor đầu tiên tự sao chép (file DLL của mã độc) vào một thư mục mới được tạo với tên ngẫu nhiên," công ty cho biết. "Tiếp theo, YiBackdoor thêm regsvr32.exe malicious_path vào tên giá trị registry (được tạo ra bằng thuật toán giả ngẫu nhiên) và tự xóa để cản trở phân tích pháp y."

Một cấu hình được mã hóa nhúng trong mã độc được sử dụng để trích xuất máy chủ command-and-control (C2), sau đó nó thiết lập kết nối để nhận các lệnh trong phản hồi HTTP -

• Systeminfo, để thu thập metadata hệ thống
• screen, để chụp ảnh màn hình
• CMD, để thực thi lệnh shell hệ thống bằng cmd.exe
• PWS, để thực thi lệnh shell hệ thống bằng PowerShell
• plugin, để truyền lệnh đến một plugin hiện có và gửi kết quả trở lại máy chủ
• task, để khởi tạo và thực thi một plugin mới được mã hóa Base64 và mã hóa

Phân tích của Zscaler về YiBackdoor đã phát hiện một số trùng lặp mã nguồn giữa YiBackdoor, IcedID và Latrodectus, bao gồm phương pháp inject mã, định dạng và độ dài của khóa giải mã cấu hình, và các routine giải mã cho configuration blob và các plugin.

"YiBackdoor mặc định có chức năng hơi hạn chế, tuy nhiên, các tác nhân đe dọa có thể triển khai thêm các plugin để mở rộng khả năng của mã độc," Zscaler cho biết. "Với số lượng triển khai hạn chế cho đến nay, có khả năng các tác nhân đe dọa vẫn đang phát triển hoặc thử nghiệm YiBackdoor."

Các phiên bản mới của ZLoader được phát hiện

Sự phát triển này diễn ra khi công ty an ninh mạng đã kiểm tra hai phiên bản mới của ZLoader (còn gọi là DELoader, Terdot, hoặc Silent Night) – 2.11.6.0 và 2.13.7.0 – những phiên bản này tích hợp thêm các cải tiến về obfuscation mã, giao tiếp mạng, kỹ thuật chống phân tích và khả năng né tránh.

Đáng chú ý trong số các thay đổi là các lệnh network discovery dựa trên LDAP có thể được tận dụng để khám phá mạng và lateral movement, cũng như một giao thức mạng dựa trên DNS được cải tiến sử dụng mã hóa tùy chỉnh với tùy chọn sử dụng WebSockets.

Các cuộc tấn công phát tán loader mã độc này được cho là chính xác và có mục tiêu hơn, chỉ được triển khai chống lại một số lượng nhỏ các thực thể chứ không phải theo cách bừa bãi.

"ZLoader 2.13.7.0 bao gồm các cải tiến và cập nhật cho giao thức DNS tunnel tùy chỉnh để giao tiếp command-and-control (C2), cùng với hỗ trợ bổ sung cho WebSockets," Zscaler cho biết. "ZLoader tiếp tục phát triển các chiến lược chống phân tích của mình, tận dụng các phương pháp đổi mới để né tránh phát hiện."