L'attacco coordinato contro la botnet globale ha avuto successo: in un'azione congiunta con Microsoft, Lumen Black Lotus Labs e Palo Alto Networks, ESET è riuscita a disattivare la botnet globale Zloader.
L'obiettivo era paralizzare l'infrastruttura e limitare massicciamente le attività del gruppo. Il gruppo eCrime dietro di esso è stato inizialmente estremamente attivo nel settore delle frodi bancarie e del furto di password negli ultimi anni. Successivamente, gli autori hanno ampliato il loro portafoglio e hanno offerto Zloader sui forum clandestini come "Malware as a Service". Il malware sottostante con lo stesso nome è stato originariamente sviluppato come trojan bancario basato sul codice sorgente del malware Zeus, trapelato nel 2021. ESET ha identificato e analizzato più di 2019 diversi campioni di codice dannoso dal 14.000.
Campagna in tre fasi con clamoroso successo
L'azione coordinata ha preso di mira tre botnet specifiche, ognuna delle quali utilizzava una versione diversa del malware Zloader. I ricercatori ESET hanno identificato più di 250 domini utilizzati dal 1° gennaio 2021 dagli operatori che sono stati acquisiti con successo nell'ambito della promozione. Inoltre, è stato disattivato il canale di comunicazione di backup, che genera automaticamente nuovi nomi di dominio, con l'aiuto del quale i botmaster potrebbero nuovamente inviare comandi ai bot Zloader (zombi). Questa tecnica, nota come "Domain Generation Algorithm" (DGA), viene utilizzata per generare fino a 32 domini diversi al giorno per botnet. I domini sono stati individuati e già registrati dalla task force Anti-Zloader per garantire che gli operatori di botnet non possano utilizzare questo side channel per riprendere il controllo della rete zombie.
Malware as a Service come modello di distribuzione
Zloader è stato pubblicizzato come malware merceologico nei forum clandestini. I potenziali autori non devono avere alcuna conoscenza di programmazione qui, ma possono ricorrere a un pacchetto completo di servizi eCrime. Oltre al codice dannoso, questo include anche servizi e misure pubblicitarie per attaccare e infettare i computer. Gli acquirenti ricevono l'infrastruttura completa per implementare i programmi dannosi e per configurare e controllare la propria botnet.
Sfondo di malware Zloader
La prima versione di Zloader (V.1.0.0.0) scoperta da ESET - poi annunciata e promossa nei forum clandestini come "Silent Night" - risale al 09 novembre 2019 ed era basata sul codice di programma trapelato del trojan bancario Zeus. La diffusione è avvenuta, tra l'altro, tramite mail di spam con file Office manipolati in tema di Covid-19. I vari gruppi eCrime utilizzano quindi kit di exploit RIG, e-mail di spam con fatture false (macro XLS) e campagne Google Ads per attirare potenziali vittime su siti Web manipolati con download infetti. L'uso di kit di exploit è utile per diffondere codice dannoso, poiché questi strumenti, che vengono scambiati nei forum di eCrime, possono essere utilizzati per cercare lacune sfruttabili nei programmi informatici in modo mirato e automatizzato.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.