Ataque coordenado contra botnet global bem-sucedido: em uma ação conjunta com a Microsoft, Lumen Black Lotus Labs e Palo Alto Networks, a ESET conseguiu desativar o botnet global Zloader.
O objetivo era paralisar a infraestrutura e restringir massivamente as atividades do grupo. O grupo eCrime por trás dele foi inicialmente extremamente ativo na área de fraude bancária e roubo de senha nos últimos anos. Mais tarde, os criminosos expandiram seu portfólio e ofereceram o Zloader em fóruns clandestinos como "Malware como serviço". O malware subjacente de mesmo nome foi originalmente desenvolvido como um Trojan bancário baseado no código-fonte do malware Zeus, que vazou em 2021. A ESET identificou e analisou mais de 2019 amostras diferentes de códigos maliciosos desde 14.000.
Campanha em três etapas com sucesso retumbante
A ação coordenada teve como alvo três botnets específicos, cada um usando uma versão diferente do malware Zloader. Os pesquisadores da ESET identificaram mais de 250 domínios usados desde 1º de janeiro de 2021 pelas operadoras que foram adquiridos com sucesso como parte da promoção. Além disso, foi desativado o canal de comunicação de backup, que gera automaticamente novos nomes de domínio, com a ajuda dos quais os botmasters poderiam novamente enviar comandos aos bots Zloader (zumbis). Essa técnica, conhecida como "Algoritmo de Geração de Domínio" (DGA), é usada para gerar até 32 domínios diferentes por dia por botnet. Os domínios foram identificados e já registrados pela força-tarefa Anti-Zloader para garantir que os operadores de botnet não possam usar esse canal lateral para recuperar o controle da rede zumbi.
Malware como serviço como modelo de distribuição
Zloader foi anunciado como malware commodity em fóruns clandestinos. Os criminosos em potencial não precisam ter nenhum conhecimento de programação aqui, mas podem recorrer a um pacote de serviço eCrime completo. Além do código malicioso, isso também inclui serviços e medidas de publicidade para atacar e infectar computadores. Os compradores recebem a infraestrutura completa para implantar os programas maliciosos e para configurar e controlar sua própria botnet.
Fundo de malware Zloader
A primeira versão do Zloader (V.1.0.0.0) descoberta pela ESET - então anunciada e promovida em fóruns underground como "Silent Night" - data de 09 de novembro de 2019 e foi baseada no código do programa vazado do Trojan bancário Zeus. A disseminação ocorreu, entre outras coisas, por meio de e-mails de spam com arquivos manipulados do Office sobre o assunto Covid-19. Os vários grupos de eCrime usam kits de exploração RIG, e-mails de spam com faturas falsas (macros XLS) e campanhas do Google Ads para atrair vítimas em potencial para sites manipulados com downloads infectados. O uso de exploit kits vale a pena para espalhar códigos maliciosos, uma vez que essas ferramentas, que são negociadas em fóruns de eCrime, podem ser usadas para procurar brechas exploráveis em programas de computador de maneira direcionada e automatizada.
Mais em ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.