Η Microsoft αναλαμβάνει τον έλεγχο της υποδομής botnet του ZLoader, η οποία χρησιμοποιείται για τη διάδοση malware και ransomware.
Δείτε επίσης: Botnet Fodcha: Στοχεύει πάνω από 100 θύματα την ημέρα με DDoS
Το malware ZLoader έχει μολύνει χιλιάδες οργανισμούς, κυρίως στις ΗΠΑ, τον Καναδά και την Ινδία, και είναι γνωστό ότι έχει διανείμει το Conti ransomware.
Οι χειριστές καμπάνιας ZLoader εξέλιξαν το κακόβουλο λογισμικό από ένα βασικό banking trojan σε ένα πιο εξελιγμένο κομμάτι κακόβουλου λογισμικού ικανό να δημιουργεί έσοδα από παραβιασμένες συσκευές πουλώντας πρόσβαση σε άλλες ομάδες συνεργατών. Με τη μόχλευση και την κακή χρήση νόμιμων εργαλείων όπως το Cobalt Strike και το Splashtop, οι συνδεδεμένες εταιρείες αποκτούν πρόσβαση με πληκτρολόγιο σε επηρεαζόμενες συσκευές, οι οποίες μπορούν να χρησιμοποιηθούν περαιτέρω για άλλες κακόβουλες δραστηριότητες, όπως κλοπή credentials ή λήψη πρόσθετων payload, συμπεριλαμβανομένου του ransomware. Το ZLoader στο παρελθόν είχε συνδεθεί με μολύνσεις ransomware όπως το Ryuk, το DarkSide και το BlackMatter.
Η Microsoft έλαβε τώρα μια δικαστική απόφαση από το Περιφερειακό Δικαστήριο των ΗΠΑ για τη Βόρεια Περιφέρεια της Τζόρτζια που της επέτρεψε να κατασχέσει 65 domains που χρησιμοποιούσε η συμμορία ZLoader για command and control (C&C) για το botnet της που δημιουργήθηκε από malware που μόλυνε επιχειρήσεις, νοσοκομεία, σχολεία και σπίτια.
Αυτά τα domains κατευθύνονται τώρα σε ένα “Microsoft sinkhole”, εκτός του ελέγχου της συμμορίας ZLoader.
Η Microsoft απέκτησε και τον έλεγχο των domain που χρησιμοποιούσε το ZLoader για τον αλγόριθμο domain generation (DGA), τα οποία χρησιμοποιούνται για την αυτόματη δημιουργία νέων domain για το C2 του botnet.
Η Microsoft ηγήθηκε της δράσης κατά του ZLoader σε συνεργασία με ερευνητές από την ESET, τα Black Lotus Labs της Lumen και το Palo Alto Networks Unit 42. Η Avast βοήθησε στην ευρωπαϊκή έρευνα DCU της Microsoft. Σύμφωνα με την ESET, το Zloader είχε περίπου 14.000 μοναδικά δείγματα και περισσότερους από 1.300 μοναδικούς C&C servers.
Δείτε επίσης: Οι ΗΠΑ διακόπτουν την λειτουργία του botnet Cyclops Blink
Η Microsoft αναγνωρίζει ότι το ZLoader δεν έχει “σταματήσει εντελώς” και συνεργάζεται και με παρόχους υπηρεσιών Internet για τον εντοπισμό και την αποκατάσταση μολύνσεων σε μολυσμένα συστήματα. Επίσης, η υπόθεση έχει παραπεμφθεί στις αρχές επιβολής του νόμου.
Η Microsoft το 2020 χρησιμοποίησε παρόμοια νομική-τεχνική προσέγγιση για την κατάργηση του botnet Trickbot.
Η Microsoft στην τεχνική της ανάλυση του ZLoader σημειώνει ότι η ομάδα χρησιμοποίησε το Google Ads για να διανείμει το Ryuk ransomware, επιτρέποντάς της να παρακάμψει την ασφάλεια του email και να το εμφανίσει στο πρόγραμμα περιήγησης. Οι κακόβουλες διαφημίσεις και τα email ήταν οι κύριοι μηχανισμοί παράδοσης. Κάθε καμπάνια υποδύθηκε γνωστά τεχνολογικά brands, συμπεριλαμβανομένων των Java, Zoom, TeamViewer και Discord.
Δείτε επίσης: Το Qbot botnet χρησιμοποιεί νέες τεχνικές μόλυνσης
Για την παράδοση των email, η ομάδα συχνά χρησιμοποιούσε συνημμένα του Microsoft Office και κατάχρηση μακροεντολών για να μολύνει μηχανήματα. Τα θέλγητρα για να εξαπατήσουν τα θύματα να ανοίξουν ένα έγγραφο και να ενεργοποιήσουν τις μακροεντολές περιελάμβαναν ειδοποιήσεις για τον COVID-19, καθυστερημένες πληρωμές τιμολογίων και πλαστά βιογραφικά.
Πηγή πληροφοριών: zdnet.com
