Frappe coordonnée contre le botnet mondial réussie : Dans une action conjointe avec Microsoft, Lumen Black Lotus Labs et Palo Alto Networks, ESET a réussi à désactiver le botnet mondial Zloader.
L'objectif était de paralyser les infrastructures et de restreindre massivement les activités du groupe. Le groupe eCrime derrière lui était initialement extrêmement actif dans le domaine de la fraude bancaire et du vol de mots de passe ces dernières années. Plus tard, les auteurs ont élargi leur portefeuille et ont proposé Zloader sur des forums clandestins en tant que "Malware as a Service". Le malware sous-jacent du même nom a été développé à l'origine comme un cheval de Troie bancaire basé sur le code source du malware Zeus divulgué en 2021. ESET a identifié et analysé plus de 2019 14.000 échantillons de codes malveillants différents depuis XNUMX.
Campagne en trois étapes au succès retentissant
L'action coordonnée ciblait trois botnets spécifiques, chacun utilisant une version différente du malware Zloader. Les chercheurs d'ESET ont identifié plus de 250 domaines utilisés depuis le 1er janvier 2021 par les opérateurs qui ont été acquis avec succès dans le cadre de la promotion. De plus, le canal de communication de secours a été désactivé, ce qui génère automatiquement de nouveaux noms de domaine, à l'aide desquels les botmasters pourraient à nouveau envoyer des commandes aux bots Zloader (zombies). Cette technique, connue sous le nom de "Domain Generation Algorithm" (DGA), est utilisée pour générer jusqu'à 32 domaines différents par jour et par botnet. Les domaines ont été identifiés et déjà enregistrés par le groupe de travail Anti-Zloader pour s'assurer que les opérateurs de botnet ne peuvent pas utiliser ce canal latéral pour reprendre le contrôle du réseau zombie.
Malware as a Service comme modèle de distribution
Zloader a été présenté comme un logiciel malveillant de base sur des forums clandestins. Les auteurs potentiels n'ont pas besoin d'avoir des connaissances en programmation ici, mais peuvent se rabattre sur un ensemble complet de services eCrime. En plus du code malveillant, cela inclut également des services et des mesures publicitaires pour attaquer et infecter les ordinateurs. Les acheteurs reçoivent l'infrastructure complète pour déployer les programmes malveillants et pour mettre en place et contrôler leur propre botnet.
Arrière-plan du logiciel malveillant Zloader
La première version de Zloader (V.1.0.0.0) découverte par ESET - alors annoncée et promue dans les forums clandestins sous le nom de "Silent Night" - remonte au 09 novembre 2019 et était basée sur le code de programme divulgué du cheval de Troie bancaire Zeus. La propagation s'est faite, entre autres, via des spams contenant des fichiers Office manipulés au sujet du Covid-19. Les différents groupes eCrime utilisent ensuite des kits d'exploitation RIG, des spams avec de fausses factures (macros XLS) et des campagnes Google Ads pour attirer les victimes potentielles vers des sites Web manipulés avec des téléchargements infectés. L'utilisation de kits d'exploitation est intéressante pour diffuser du code malveillant, car ces outils, commercialisés dans les forums eCrime, peuvent être utilisés pour rechercher des lacunes exploitables dans les programmes informatiques de manière ciblée et automatisée.
Plus sur ESET.com
À propos d'ESET ESET est une société européenne dont le siège est à Bratislava (Slovaquie). Depuis 1987, ESET développe des logiciels de sécurité primés qui ont déjà aidé plus de 100 millions d'utilisateurs à profiter de technologies sécurisées. Le large portefeuille de produits de sécurité couvre toutes les principales plates-formes et offre aux entreprises et aux consommateurs du monde entier l'équilibre parfait entre performance et protection proactive. La société dispose d'un réseau de vente mondial dans plus de 180 pays et de bureaux à Jena, San Diego, Singapour et Buenos Aires. Pour plus d'informations, visitez www.eset.de ou suivez-nous sur LinkedIn, Facebook et Twitter.