El ataque coordinado contra la botnet global tuvo éxito: en una acción conjunta con Microsoft, Lumen Black Lotus Labs y Palo Alto Networks, ESET logró desactivar la botnet global Zloader.
El objetivo era paralizar la infraestructura y restringir masivamente las actividades del grupo. El grupo eCrime detrás de él fue inicialmente extremadamente activo en el área del fraude bancario y el robo de contraseñas en los últimos años. Más tarde, los perpetradores ampliaron su cartera y ofrecieron Zloader en foros clandestinos como "Malware como servicio". El malware subyacente del mismo nombre se desarrolló originalmente como un troyano bancario basado en el código fuente del malware Zeus, que se filtró en 2021. ESET había identificado y analizado más de 2019 14.000 muestras de códigos maliciosos diferentes desde XNUMX.
Campaña en tres etapas con rotundo éxito
La acción coordinada apuntó a tres redes de bots específicas, cada una de las cuales usaba una versión diferente del malware Zloader. Los investigadores de ESET identificaron más de 250 dominios utilizados desde el 1 de enero de 2021 por los operadores que fueron adquiridos con éxito como parte de la promoción. Además, se apagó el canal de comunicación de respaldo, que genera automáticamente nuevos nombres de dominio, con la ayuda de los cuales los botmasters podrían enviar nuevamente comandos a los bots Zloader (zombies). Esta técnica, conocida como "Algoritmo de Generación de Dominio" (DGA), se utiliza para generar hasta 32 dominios diferentes por día por botnet. Los dominios han sido identificados y ya registrados por el grupo de trabajo Anti-Zloader para garantizar que los operadores de botnets no puedan usar este canal lateral para recuperar el control de la red zombi.
Malware as a Service como modelo de distribución
Zloader se publicitó como malware básico en foros clandestinos. Los perpetradores potenciales no necesitan tener ningún conocimiento de programación aquí, pero pueden recurrir a un paquete completo de servicios de eCrime. Además del código malicioso, esto también incluye servicios y medidas publicitarias para atacar e infectar computadoras. Los compradores reciben la infraestructura completa para implementar los programas maliciosos y para configurar y controlar su propia red de bots.
Fondo de malware Zloader
La primera versión de Zloader (V.1.0.0.0) descubierta por ESET, luego anunciada y promocionada en foros clandestinos como "Noche de paz", data del 09 de noviembre de 2019 y se basó en el código de programa filtrado del troyano bancario Zeus. La difusión se produjo, entre otras cosas, a través de correos no deseados con archivos de Office manipulados sobre el tema del Covid-19. Los diversos grupos de eCrime luego usan kits de explotación RIG, correos electrónicos no deseados con facturas falsas (macros XLS) y campañas de anuncios de Google para atraer a las víctimas potenciales a sitios web manipulados con descargas infectadas. El uso de kits de explotación vale la pena para difundir código malicioso, ya que estas herramientas, que se comercializan en los foros de eCrime, se pueden utilizar para buscar brechas explotables en los programas informáticos de forma dirigida y automatizada.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.