Botnet zerschlagen: Bei Zloader hat es sich ausgebottet

Botnet zerschlagen: Bei Zloader hat es sich ausgebottet

Beitrag teilen

Koordinierter Schlag gegen globales Botnet gelungen: In einer gemeinsamen Aktion mit Microsoft, Lumen Black Lotus Labs und Palo Alto Networks ist es ESET gelungen, das weltweit agierende Botnetz Zloader zu deaktivieren.

Ziel war es, die Infrastruktur lahmzulegen und die Aktivitäten der Gruppierung massiv einzuschränken. Die dahintersteckende eCrime-Gruppe war in den vergangenen Jahren zunächst im Bereich Banking-Betrug und Passwortdiebstahl äußerst aktiv. Später erweiterten die Täter ihr Portfolio und boten Zloader in Untergrundforen als „Malware as a Service“ an. Die dahinter befindliche Malware gleichen Namens wurde ursprünglich als Banking-Trojaner auf Basis des 2021 geleakten Sourcecodes des Zeus-Schadprogramms entwickelt. ESET hatte seit 2019 mehr als 14.000 unterschiedliche Schadcode-Samples identifiziert und analysiert.

Anzeige

Dreistufige Aktion mit einschlagendem Erfolg

Die koordinierte Aktion zielte auf drei spezifische Botnetze ab, von denen jedes eine andere Version der Zloader-Malware verwendete. ESET-Forscher identifizierten mehr als 250 Domains, die seit dem 1. Januar 2021 von den Betreibern genutzt wurden, die im Zuge der Aktion erfolgreich übernommen wurden. Darüber hinaus wurde der Backup- Kommunikationskanal ausgeschaltet, der automatisch neue Domänennamen generiert, mit deren Hilfe die Botmaster wieder Befehle an die Zloader-Bots (Zombies) hätten senden können. Diese Technik, die als „Domain Generation Algorithm“ (DGA) bekannt ist, wird verwendet, um bis zu 32 verschiedene Domains pro Tag und Botnet zu generieren. Die Domains wurden von der Anti-Zloader-Taskforce identifiziert und bereits registriert, um sicherzustellen, dass die Botnet-Betreiber diesen Seitenkanal nicht nutzen können, um wieder die Kontrolle über das Zombie-Netzwerk zu erlangen.

Malware as a Service als Vertriebsmodell

In Untergrundforen wurde Zloader als Commodity-Malware angeboten. Hierbei müssen die potenziellen Täter keinerlei Programmierkenntnisse aufweisen, sondern können auf ein komplettes eCrime-Service-Paket zurückgreifen. Dies umfasst neben dem Schadcode auch Serviceleistungen und Werbemaßnahmen, um Rechner zu attackieren und zu infizieren. Die Käufer erhalten die komplette Infrastruktur zum Ausrollen der Schadprogramme und zum Aufbau und Steuerung eines eigenen Botnetzes.

Hintergrund zur Zloader-Malware

Die erste von ESET entdeckte Version von Zloader (V.1.0.0.0) – damals in Untergrundforen als „Silent Night“ angekündigt und beworben – stammt vom 09. November 2019 und basierte auf dem publik gewordenen Programmcode des Zeus-Banking-Trojaners. Die Verbreitung erfolgte u.a. über Spam-Mails mit manipulierte Office-Dateien zum Thema Covid-19. Im weiteren Verlauf setzen die unterschiedlichen eCrime-Gruppen für die Verbreitung auf RIG-Exploit-Kits, Spam-Mails mit gefälschten Rechnungen (XLS-Makros) und Google Ads-Kampagnen, um potenzielle Opfer auf manipulierte Webseiten mit infizierten Downloads zu locken. Der Einsatz von Exploit-Kits ist für die Schadcode-Verbreitung lohnend, da mit diesen in eCrime-Foren gehandelten Tools gezielt und automatisiert nach ausnutzbaren Lücken in Computerprogrammen gesucht werden kann.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Neue Version der XDR AI PLATFORM

Die automatisierte XDR Plattform hat in der Version 13 ein verbessertes Verteidigungsarsenal zur Bekämpfung komplexer werdender Cyberbedrohungen. Eine KI hält ➡ Weiterlesen

Notfallplan: Kommunikation während einer Cyberattacke 

Cyberkriminalität und Datendiebstahl sind ein Supergau und können Unternehmen ins Straucheln bringen. Ein Notfallplan hilft allen Beteiligten, die Nerven und ➡ Weiterlesen

ROC – Risk Operations Center in der Cloud

Branchenweit ist es das erste seiner Art: Das Risk Operations Center (ROC) mit Enterprise TruRisk Management (ETM). Die Qualys-Lösung ermöglicht ➡ Weiterlesen

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen