グローバル ボットネットに対する協調攻撃の成功: Microsoft、Lumen Black Lotus Labs、Palo Alto Networks との共同行動により、ESET はグローバル ボットネット Zloader の無効化に成功しました。
その目的は、インフラを麻痺させ、グループの活動を大幅に制限することでした。 その背後にある eCrime グループは、当初、銀行詐欺と近年のパスワード盗難の分野で非常に活発でした。 その後、加害者はポートフォリオを拡大し、アンダーグラウンド フォーラムで Zloader を「Malware as a Service」として提供しました。 同名の基本的なマルウェアは、2021 年に流出した Zeus マルウェアのソース コードに基づいて、バンキング型トロイの木馬として開発されました。 ESET は、2019 年以来、14.000 を超えるさまざまな悪意のあるコード サンプルを特定して分析してきました。
大成功を収めた XNUMX 段階のキャンペーン
この組織的なアクションは、それぞれが異なるバージョンの Zloader マルウェアを使用する 250 つの特定のボットネットを標的にしていました。 ESET の研究者は、1 年 2021 月 32 日以降、プロモーションの一環として正常に取得されたオペレーターによって使用された XNUMX 以上のドメインを特定しました。 さらに、バックアップ通信チャネルがオフになり、新しいドメイン名が自動的に生成され、ボットマスターが Zloader ボット (ゾンビ) にコマンドを再び送信できるようになりました。 「ドメイン生成アルゴリズム」(DGA) として知られるこの手法は、ボットネットごとに XNUMX 日あたり最大 XNUMX 個の異なるドメインを生成するために使用されます。 ボットネット オペレータがこのサイド チャネルを使用してゾンビ ネットワークの制御を取り戻すことができないように、これらのドメインは特定され、Zloader 対策タスク フォースによってすでに登録されています。
配布モデルとしてのサービスとしてのマルウェア
Zloader は、アンダーグラウンド フォーラムでコモディティ マルウェアとして宣伝されていました。 潜在的な加害者は、ここでプログラミングの知識を持っている必要はありませんが、完全な eCrime サービス パッケージに頼ることができます。 これには、悪意のあるコードに加えて、コンピュータを攻撃して感染させるサービスや広告手段も含まれます。 購入者は、悪意のあるプログラムを展開し、独自のボットネットを設定および制御するための完全なインフラストラクチャを受け取ります。
Zloader マルウェアの背景
ESET によって発見された Zloader の最初のバージョン (V.1.0.0.0) - その後、アンダーグラウンド フォーラムで「きよしこの夜」として発表および宣伝された - は、09 年 2019 月 19 日にさかのぼり、Zeus バンキング トロイの木馬の流出したプログラム コードに基づいていました。 拡散は、とりわけ、Covid-XNUMX を題材にした、操作された Office ファイルを含むスパムメールを介して行われました。 次に、さまざまな eCrime グループが、RIG エクスプロイト キット、偽の請求書 (XLS マクロ) を含むスパム メール、および Google 広告キャンペーンを使用して、潜在的な被害者を、感染したダウンロードを含む操作された Web サイトにおびき寄せます。 eCrime フォーラムで取引されているエクスプロイト キットを使用すると、標的を絞って自動化された方法で、コンピューター プログラムの悪用可能なギャップを検索できるため、悪意のあるコードを拡散するためにエクスプロイト キットを使用する価値があります。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。