Diam Malam Zbot, varian baru dari yang terkenal banking trojan ZeuS yang mendatangkan malapetaka pada pertengahan-2009 dapat mengesankan dalam desain, tetapi itu “tidak ada game changer,” menurut pemahaman mendalam laporan dari Malwarebytes dan HYAS.

Panggilan Silent Night “namun lain Trojan perbankan berdasarkan ZeuS,” 186 halaman laporan memuji malware desain untuk menjadi konsisten dan bersih. “Pengalaman penulis menunjukkan seluruh kode,” kata para peneliti. “Namun, terlepas dari kebiasaan obfuscator, tidak ada banyak hal baru dalam produk ini.”

Peneliti membandingkan fungsi dari malware dan Command-and-Control (C2) panel dengan lainnya Zbots yang telah populer dalam beberapa tahun terakhir, termasuk Terdot garpu, antara ZeuS ini banyak iterasi yang muncul sejak pertama kali ditemukan pada bulan juli 2007.

Sedangkan bot desain menggunakan ZeuS kode sebagai template, banyak pekerjaan yang telah dilakukan pada modifikasi dan modernisasi. Secara konseptual, hal ini sangat dekat dengan Terdot, “namun ditulis ulang dengan peningkatan, desain modular,” menurut laporan tersebut.

Diam Malam sampel awal adalah downloader, mengambil inti berbahaya modul dan menyuntikkan ke berbagai proses yang sedang berjalan.

Obrolan tentang Silent Night, dinamai buatan Soviet biner senjata kimia, pertama kali terlihat pada Nov. 9, 2019 di forum.exploit[.], di bawah sebuah forum rusia.

Mengenai distribusi, Zloader diamati pada Desember. 23, 2029 yang dijatuhkan oleh RIG Exploit Kit (sumber). “Di awal, karena itu segera setelah rilis pertama dari malware ini, kampanye masih kecil, dan muncul untuk menjadi untuk tujuan pengujian,” kata laporan itu. “Penyebaran intensif dari waktu ke waktu, dan distribusi beralih ke sebagian besar email phishing.”

Pada bulan Maret tahun 2020, hal tersebut disampaikan dalam COVID-19 bertema spam. kampanye, seperti yang dilaporkan oleh Vitali Kremez. Pada waktu itu, lampiran digunakan untuk menjatuhkan malware yang sebagian besar dokumen Word dengan Javascript berbahaya. Dokumen yang mencoba untuk meyakinkan pengguna untuk mengaktifkan konten aktif.

Malware pengembang, yang dikenal sebagai Kapak, mengatakan dia bekerja pada proyek ini selama lebih dari lima tahun (lebih dari 15.000 jam).

Mahal untuk membeli, Silent Night biaya $4.000 per bulan untuk membangun, $2.000 USD bulanan untuk umum membangun, $1,000 per bulan ekstra untuk HVNC fungsi, dan $500 untuk tes selama 14 hari.

“Berdasarkan analisis dari bot konfigurasi, kita dapat dengan yakin mengatakan bahwa ada lebih dari satu pelanggan dari ‘Silent Night,'” kata laporan itu.

Silent Night menawarkan Web Suntikan dan Form Grabber Dukungan untuk web browser Google Chrome, Firefox, dan Internet Explorer (semua yang bisa mendapatkan cookie-grabber dukungan), sementara HiddenVNC bekerja pada semua OSs dengan versi browser terbaru kecuali Edge. Cookie juga tersedia untuk di-download di NETSCAPE, JSON dan POLOS format. Sebuah SOCKS5 sesi dimulai dalam satu klik pada bot halaman di admin panel.

Malware server-side utilitas untuk backconnect hanya bekerja di bawah Windows. Untuk keylogger laporan dapat dicari dengan proses nama, judul jendela, dan konten. Screenshots dapat dicari dengan proses nama dan judul jendela.

Sebuah obfuscator tertulis untuk bot morphs semua kode dan mengenkripsi string plus semua nilai konstanta di dalam kode.