Botnet zerschlagen: Bei Zloader hat es sich ausgebottet

Botnet zerschlagen: Bei Zloader hat es sich ausgebottet
Anzeige

Beitrag teilen

Koordinierter Schlag gegen globales Botnet gelungen: In einer gemeinsamen Aktion mit Microsoft, Lumen Black Lotus Labs und Palo Alto Networks ist es ESET gelungen, das weltweit agierende Botnetz Zloader zu deaktivieren.

Ziel war es, die Infrastruktur lahmzulegen und die Aktivitäten der Gruppierung massiv einzuschränken. Die dahintersteckende eCrime-Gruppe war in den vergangenen Jahren zunächst im Bereich Banking-Betrug und Passwortdiebstahl äußerst aktiv. Später erweiterten die Täter ihr Portfolio und boten Zloader in Untergrundforen als „Malware as a Service“ an. Die dahinter befindliche Malware gleichen Namens wurde ursprünglich als Banking-Trojaner auf Basis des 2021 geleakten Sourcecodes des Zeus-Schadprogramms entwickelt. ESET hatte seit 2019 mehr als 14.000 unterschiedliche Schadcode-Samples identifiziert und analysiert.

Anzeige

Dreistufige Aktion mit einschlagendem Erfolg

Die koordinierte Aktion zielte auf drei spezifische Botnetze ab, von denen jedes eine andere Version der Zloader-Malware verwendete. ESET-Forscher identifizierten mehr als 250 Domains, die seit dem 1. Januar 2021 von den Betreibern genutzt wurden, die im Zuge der Aktion erfolgreich übernommen wurden. Darüber hinaus wurde der Backup- Kommunikationskanal ausgeschaltet, der automatisch neue Domänennamen generiert, mit deren Hilfe die Botmaster wieder Befehle an die Zloader-Bots (Zombies) hätten senden können. Diese Technik, die als „Domain Generation Algorithm“ (DGA) bekannt ist, wird verwendet, um bis zu 32 verschiedene Domains pro Tag und Botnet zu generieren. Die Domains wurden von der Anti-Zloader-Taskforce identifiziert und bereits registriert, um sicherzustellen, dass die Botnet-Betreiber diesen Seitenkanal nicht nutzen können, um wieder die Kontrolle über das Zombie-Netzwerk zu erlangen.

Malware as a Service als Vertriebsmodell

In Untergrundforen wurde Zloader als Commodity-Malware angeboten. Hierbei müssen die potenziellen Täter keinerlei Programmierkenntnisse aufweisen, sondern können auf ein komplettes eCrime-Service-Paket zurückgreifen. Dies umfasst neben dem Schadcode auch Serviceleistungen und Werbemaßnahmen, um Rechner zu attackieren und zu infizieren. Die Käufer erhalten die komplette Infrastruktur zum Ausrollen der Schadprogramme und zum Aufbau und Steuerung eines eigenen Botnetzes.

Anzeige

Hintergrund zur Zloader-Malware

Die erste von ESET entdeckte Version von Zloader (V.1.0.0.0) – damals in Untergrundforen als „Silent Night“ angekündigt und beworben – stammt vom 09. November 2019 und basierte auf dem publik gewordenen Programmcode des Zeus-Banking-Trojaners. Die Verbreitung erfolgte u.a. über Spam-Mails mit manipulierte Office-Dateien zum Thema Covid-19. Im weiteren Verlauf setzen die unterschiedlichen eCrime-Gruppen für die Verbreitung auf RIG-Exploit-Kits, Spam-Mails mit gefälschten Rechnungen (XLS-Makros) und Google Ads-Kampagnen, um potenzielle Opfer auf manipulierte Webseiten mit infizierten Downloads zu locken. Der Einsatz von Exploit-Kits ist für die Schadcode-Verbreitung lohnend, da mit diesen in eCrime-Foren gehandelten Tools gezielt und automatisiert nach ausnutzbaren Lücken in Computerprogrammen gesucht werden kann.

Mehr bei ESET.com

 


Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.


 

Passende Artikel zum Thema

BSI: Schlag gegen Emotet gelungen

Wie das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI informiert wurde eine große Emotet-Infrastruktur zerschlagen. Arne Schönbohm, Präsident des ➡ Weiterlesen

ESET enttarnt Struktur der Spionage-APT-Gruppe TA410 

ESET Research enthüllt ein detailliertes Profil von TA410, einer Cyber-Spionage-Gruppierung, die lose mit APT10 kooperiert. Diese ist bekannt dafür, US-amerikanische ➡ Weiterlesen

ESET bringt neues Business Produktportfolio 2022

Der IT-Sicherheitshersteller ESET hat seine Palette an Business-Sicherheitslösungen weiter veredelt. Die ESET PROTECT-Plattform wurde einer Reihe von Änderungen unterzogen, um ➡ Weiterlesen

Fake-Shops verbreiten Schad-Apps und zielen auf Bankdaten

Experten des europäischen IT-Sicherheitsherstellers ESET haben eine noch immer andauernde Cybercrime-Kampagne entdeckt und analysiert. Ahnungslose Online-Shopper sollen zum Download von ➡ Weiterlesen

UEFI-Sicherheitslücken bei Lenovo Notebooks

Sicherheitsanbieter ESET gibt eine Sicherheitswarnung: Gefährliche UEFI-Sicherheitslücken in Lenovo-Notebooks entdeckt. Besitzern von Lenovo-Laptops sollten sich die Liste der betroffenen Geräte ➡ Weiterlesen

Passwort wird für Online-Nutzer zum alten Eisen

ESET Frühjahrsumfrage 2022 zeigt positive Entwicklung – jeder vierte Befragte nutzt Passwort-Manager und jeder Dritte setzt auf Zwei-Faktor-Authentifizierung. Der Trend ➡ Weiterlesen

Attacke auf ukrainische Energiewirtschaft mit Industroyer 2

Bei weiteren Angriffen auf die ukrainische Energiewirtschaft konnte ESET eine neue Variante der Industroyer-Malware identifizieren: Industroyer 2. ESET Forscher vermuten ➡ Weiterlesen

APT-Gruppe lockt mit Phishing-Mails zum Ukraine-Krieg in die Falle

ESET Forscher haben eine laufende Kampagne mit Phishing-Mails der Cyberspionage-Gruppe Mustang Panda aufgedeckt. Diese ist dafür berüchtigt, Regierungseinrichtungen, Unternehmen und ➡ Weiterlesen