Botnet zerschlagen: Bei Zloader hat es sich ausgebottet

Botnet zerschlagen: Bei Zloader hat es sich ausgebottet

Beitrag teilen

Koordinierter Schlag gegen globales Botnet gelungen: In einer gemeinsamen Aktion mit Microsoft, Lumen Black Lotus Labs und Palo Alto Networks ist es ESET gelungen, das weltweit agierende Botnetz Zloader zu deaktivieren.

Ziel war es, die Infrastruktur lahmzulegen und die Aktivitäten der Gruppierung massiv einzuschränken. Die dahintersteckende eCrime-Gruppe war in den vergangenen Jahren zunächst im Bereich Banking-Betrug und Passwortdiebstahl äußerst aktiv. Später erweiterten die Täter ihr Portfolio und boten Zloader in Untergrundforen als „Malware as a Service“ an. Die dahinter befindliche Malware gleichen Namens wurde ursprünglich als Banking-Trojaner auf Basis des 2021 geleakten Sourcecodes des Zeus-Schadprogramms entwickelt. ESET hatte seit 2019 mehr als 14.000 unterschiedliche Schadcode-Samples identifiziert und analysiert.

Dreistufige Aktion mit einschlagendem Erfolg

Die koordinierte Aktion zielte auf drei spezifische Botnetze ab, von denen jedes eine andere Version der Zloader-Malware verwendete. ESET-Forscher identifizierten mehr als 250 Domains, die seit dem 1. Januar 2021 von den Betreibern genutzt wurden, die im Zuge der Aktion erfolgreich übernommen wurden. Darüber hinaus wurde der Backup- Kommunikationskanal ausgeschaltet, der automatisch neue Domänennamen generiert, mit deren Hilfe die Botmaster wieder Befehle an die Zloader-Bots (Zombies) hätten senden können. Diese Technik, die als „Domain Generation Algorithm“ (DGA) bekannt ist, wird verwendet, um bis zu 32 verschiedene Domains pro Tag und Botnet zu generieren. Die Domains wurden von der Anti-Zloader-Taskforce identifiziert und bereits registriert, um sicherzustellen, dass die Botnet-Betreiber diesen Seitenkanal nicht nutzen können, um wieder die Kontrolle über das Zombie-Netzwerk zu erlangen.

Malware as a Service als Vertriebsmodell

In Untergrundforen wurde Zloader als Commodity-Malware angeboten. Hierbei müssen die potenziellen Täter keinerlei Programmierkenntnisse aufweisen, sondern können auf ein komplettes eCrime-Service-Paket zurückgreifen. Dies umfasst neben dem Schadcode auch Serviceleistungen und Werbemaßnahmen, um Rechner zu attackieren und zu infizieren. Die Käufer erhalten die komplette Infrastruktur zum Ausrollen der Schadprogramme und zum Aufbau und Steuerung eines eigenen Botnetzes.

Hintergrund zur Zloader-Malware

Die erste von ESET entdeckte Version von Zloader (V.1.0.0.0) – damals in Untergrundforen als „Silent Night“ angekündigt und beworben – stammt vom 09. November 2019 und basierte auf dem publik gewordenen Programmcode des Zeus-Banking-Trojaners. Die Verbreitung erfolgte u.a. über Spam-Mails mit manipulierte Office-Dateien zum Thema Covid-19. Im weiteren Verlauf setzen die unterschiedlichen eCrime-Gruppen für die Verbreitung auf RIG-Exploit-Kits, Spam-Mails mit gefälschten Rechnungen (XLS-Makros) und Google Ads-Kampagnen, um potenzielle Opfer auf manipulierte Webseiten mit infizierten Downloads zu locken. Der Einsatz von Exploit-Kits ist für die Schadcode-Verbreitung lohnend, da mit diesen in eCrime-Foren gehandelten Tools gezielt und automatisiert nach ausnutzbaren Lücken in Computerprogrammen gesucht werden kann.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

Bedrohungen erkennen und abwehren

In der heutigen, durch Digitalisierung geprägten Unternehmenslandschaft erfordert der Kampf gegen Bedrohungen einen kontinuierlichen, proaktiven und ganzheitlichen Ansatz. Open Extended ➡ Weiterlesen

Backup für Microsoft 365 – neue Erweiterung

Eine einfache und flexible Backup-as-a-Service-(BaaS)-Lösung erweitert Datensicherungs- und Ransomware Recovery-Funktionalitäten für Microsoft 365. Dadurch verkürzen sich die Ausfallszeiten bei einem ➡ Weiterlesen

Cloud Sicherheit: Das ist 2024 wichtig

Einschneidende Ereignisse wie die Pandemie oder Kriege hatten die Fachkundigen in der Vergangenheit nicht auf dem Schirm. Ein Experte für ➡ Weiterlesen

Tipps für die Umsetzung der Richtlinie NIS2

Der richtige Einsatz von Cyber Security ist inzwischen wichtiger denn je. Aufgrund der zunehmenden Bedrohungen wächst das Angriffsrisiko stetig. Das ➡ Weiterlesen

Security Cloud Enterprise Edition als Managed Service

„Cyber Resilience as a Service“ ermöglicht Unternehmen jeder Größe beim MSP SVA Rubriks Portfolio für mehr Datensicherheit zu beziehen. Rubrik ➡ Weiterlesen

Unveränderlicher Speicher schützt vor Attacken

Eine Umfrage unter Cybersecurity-Experten aus Unternehmen mit mehr als 1.000 Mitarbeitern bestätigt, dass mit 46 Prozent fast die Hälfte der ➡ Weiterlesen

Globale Bedrohungen: Datenschutz für lokale Daten

Ransomware-Angriffe, Data Stealer-Attacken, Exploits für Schwachstellen: Auch wenn die Attacken global ablaufen, so zielen sie doch auf eine lokale, teile ➡ Weiterlesen

Fünf Cyberabwehrstrategien

In den vergangenen zwei Jahren ist es Angreifern gelungen, in die Systeme von 78 Prozent der deutschen Unternehmen einzudringen. Das ➡ Weiterlesen