Microsoft en een consortium van cyberbeveiligingsbedrijven hebben juridische en technische stappen genomen om de ZLoader-botnetde controle over 65 domeinen in beslag nemen die werden gebruikt om de geïnfecteerde hosts te controleren en ermee te communiceren.
“ZLoader bestaat uit computerapparatuur in bedrijven, ziekenhuizen, scholen en huizen over de hele wereld en wordt beheerd door een wereldwijde op internet gebaseerde georganiseerde misdaadbende die malware gebruikt als een service die is ontworpen om geld te stelen en af te persen”, zegt Amy Hogan. Burney, algemeen directeur van de Digital Crimes Unit (DCU) van Microsoft, zei.
De operatie, zei Microsoft, werd uitgevoerd in samenwerking met ESET, Lumen’s Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) en Health Information Sharing and Analysis Center (H-ISAC ).
Als gevolg van de verstoring worden de domeinen nu omgeleid naar een sinkhole, waardoor de criminele operators van het botnet effectief geen contact kunnen opnemen met de besmette apparaten. Nog eens 319 back-updomeinen die zijn gegenereerd via een ingebed algoritme voor het genereren van domeinen (DGA) zijn ook in beslag genomen als onderdeel van dezelfde operatie.
ZLoader, net als zijn beruchte tegenhanger TrickBot, begon als een afgeleide van de Zeus banking trojan in november 2019 voordat ze actieve verfijningen en upgrades ondergingen die andere bedreigingsactoren in staat hebben gesteld de malware van ondergrondse forums te kopen en deze opnieuw te gebruiken om hun doelen te bereiken.
“ZLoader is relevant gebleven als het favoriete instrument van aanvallers door mogelijkheden voor het ontwijken van verdedigingen op te nemen, zoals het uitschakelen van beveiligings- en antivirusprogramma’s, en door access-as-a-service te verkopen aan andere aangesloten groepen, zoals ransomware-operators”, aldus Microsoft.
“De mogelijkheden omvatten het maken van screenshots, het verzamelen van cookies, het stelen van inloggegevens en bankgegevens, het uitvoeren van verkenningen, het starten van persistentiemechanismen, het misbruiken van legitieme beveiligingstools en het bieden van externe toegang aan aanvallers.”
De overgang van ZLoader van een financiële basistrojan naar een geavanceerde malware-as-a-service (MaaS)-oplossing heeft het de operators ook mogelijk gemaakt om inkomsten te genereren met de compromissen door de toegang te verkopen aan andere aangesloten actoren, die deze vervolgens misbruiken om extra payloads in te zetten zoals Cobalt Strike en ransomware.
Campagnes waarbij ZLoader betrokken is, hebben misbruik gemaakt van phishing-e-mails, software voor extern beheer en bedrieglijke Google-advertenties om de eerste toegang tot de doelmachines te krijgen, terwijl ze tegelijkertijd verschillende complexe tactieken voor verdedigingsontwijking gebruikten, waaronder het injecteren van kwaadaardige code in legitieme processen.
Interessant is dat een analyse van de kwaadaardige activiteiten van de malware sinds februari 2020 heeft uitgewezen dat de meeste operaties afkomstig waren van slechts twee filialen sinds oktober 2020: “dh8f3@3hdf#hsf23” en “03d5ae30a0bd934a23b6a7f0756aa504.”
Terwijl de eerste “ZLoader’s vermogen gebruikte om willekeurige payloads in te zetten om kwaadaardige payloads naar zijn bots te distribueren”, lijkt de andere, tot nu toe actieve, gelieerde onderneming zich te hebben gericht op het overhevelen van inloggegevens van bank-, cryptocurrency-platforms en e-commercesites, het Slowaakse cyberbeveiligingsbedrijf ESET zei.
Als klap op de vuurpijl ontmaskerde Microsoft ook Denis Malikov, die in de stad Simferopol op het Krim-schiereiland woont, als een van de actoren achter de ontwikkeling van een module die door het botnet wordt gebruikt om ransomware-stammen te verspreiden. dader om “duidelijk te maken dat cybercriminelen zich niet mogen verschuilen achter de anonimiteit van internet om hun misdaden te plegen.”
De verwijderingsinspanning doet denken aan een wereldwijde operatie om het beruchte TrickBot-botnet in oktober 2020 te ontwrichten. Hoewel het botnet vorig jaar wist te herstellen, is het sindsdien door de malware-auteurs teruggetrokken ten gunste van andere onopvallende varianten zoals BazarBackdoor.
“Zoals veel moderne malwarevarianten, is het krijgen van ZLoader op een apparaat vaak slechts de eerste stap in wat uiteindelijk een grotere aanval wordt”, aldus Microsoft. “De trojan is een verder voorbeeld van de trend dat veelvoorkomende malware steeds meer gevaarlijke bedreigingen herbergt.”
