《寂静之夜》是ZeuS衍生的新型复杂且高度混淆的Zloader / Zbot银行木马。

2020年3月，FireEye和IBM均报告了针对COVID-19金融补偿计划的恶意活动。FireEye将恶意软件有效负载称为“ SILENTNIGHT”；IBM将其描述为ZeuS Sphinx / Terdot变体。他们在一起是正确的。Silent Night是ZeuS的新衍生产品，目前以恶意软件即服务（MaaS）模式提供。

Malwarebytes（PDF）和HYAS联合发布了对该新恶意软件的详细分析。Silent Night 1.0版本于2019年11月进行了编译。大约在同一时间，它被称为Axe的卖方在俄罗斯地下论坛forum.exploit [。] in上出售。阿克斯声称它是他自己的银行木马，并说他花了五年多的时间开发它。但是，尽管它肯定是新的，但Malwarebytes / HYAS分析证明了它对原始ZeuS和最近的衍生产品（如Terdot）的欠债。

对于MaaS来说，价格太高了：一个独特的版本每月4,000美元；一般建筑每月2,000美元；500美元只是为了测试14天。通常，MaaS借助低成本，易于使用的受支持恶意软件来吸引经验不足或想成为黑客的巨大市场，同时为开发人员提供稳定的收入来源。信息窃取者是常见的 MaaS产品。

Axy的价格为每月4,000美元，似乎瞄准了一个不同的市场-也许是融资较少，组织完善的团伙的数量较少，这些团伙拥有现成的分发和洗钱基础设施，但他们仍然希望使用商品但复杂的恶意软件。它已经被RIG漏洞利用工具丢弃，并用于带有武器化Word文档的针对美国，加拿大和澳大利亚的COVID-19垃圾邮件活动。最近的一个广告系列使用带有嵌入式宏的Excel工作表，而另一个使用附加的VBS脚本。

“寂静之夜”的一个突出特点是其模糊程度。它使用专门开发的自定义混淆器，可变形所有代码并加密代码中的字符串和所有常量值。研究人员说，输出是一个非常混乱的代码，对性能没有任何严重影响。研究人员写道：“线路解密是按需即时进行的，将被临时存储在堆栈中。” “常量值的解密也可以随时进行，每个常量都有其自己独特的解密功能……因此，对于每个程序集，我们都会获得一个唯一的文件，并且一键单击即可删除任何签名。”

研究人员还找到了《寂静之夜》用户手册，该手册使他们能够深入了解恶意软件中的不同功能。有趣的是，研究人员发现了嵌入在其中一个模块中的可用命令列表。该列表包括用户手册中描述的所有命令，但还有一些其他功能，例如，获取文件和获取密码。这意味着Ax会继续开发和扩展恶意软件的功能。

攻击始于“寂静之夜”装载机，通常是作为附件提供的。如果MaaS Silent Night模型越来越多地被犯罪团伙使用，我们很可能会看到其他分发方法。执行后，它将运行msiexec并将其自身注入其中。然后，加载程序从C2服务器或本地存储中检索Silent Night bot，并将其注入到msiexec的同一实例中。

该机器人的主要功能包括VNC服务器，浏览器本地代理和窃取器功能。VNC服务器为攻击者提供了远程访问权限，并在恶意软件运行时在后台运行。

浏览器中的人功能提供抓图和网络注入。该恶意软件会安装自己的伪造证书并运行本地代理。

该机器人还可以充当经典的盗窃者。来自主要功能的线程之一负责窃取cookie，保存的凭证和文件。但是，也可以根据需要通过部署专用的远程命令来分别执行此线程中累积的命令。

《寂静之夜》写的很好，其模块化设计比以前的ZeuS衍生物（例如Terdot）要好，而不是革命性的。研究人员说：“除了定制的混淆器之外，该产品没有太多新颖性。《寂静之夜》不是任何游戏规则改变者，而是另一个基于ZeuS的银行木马。” 话虽如此，值得记住的是，混淆器每次使用时都会有效地创建新代码。这可能是“另一个银行木马”，但并不是仅通过签名检测就可以轻松检测到的木马。