Скоординований удар проти глобального ботнету вдався: у спільній дії з Microsoft, Lumen Black Lotus Labs і Palo Alto Networks ESET вдалося дезактивувати глобальний ботнет Zloader.
Метою було паралізувати інфраструктуру та масово обмежити діяльність групи. Група eCrime, що стоїть за нею, спочатку була надзвичайно активною у сфері банківського шахрайства та крадіжки паролів в останні роки. Пізніше зловмисники розширили свій портфель і запропонували Zloader на підпільних форумах як «Шкідливе ПЗ як послуга». Базове зловмисне програмне забезпечення з такою ж назвою спочатку було розроблено як банківський троян на основі вихідного коду зловмисного програмного забезпечення Zeus, який був витік у 2021 році. ESET виявила та проаналізувала понад 2019 14.000 різних зразків шкідливого коду з XNUMX року.
Триетапна кампанія з приголомшливим успіхом
Скоординовані дії були спрямовані на три конкретні ботнети, кожна з яких використовувала різну версію шкідливого програмного забезпечення Zloader. Дослідники ESET ідентифікували понад 250 доменів, які використовувалися операторами з 1 січня 2021 року і були успішно придбані в рамках акції. Крім того, було відключено резервний канал зв’язку, який автоматично генерує нові доменні імена, за допомогою яких ботмайстри знову могли надсилати команди ботам (зомбі) Zloader. Цей метод, відомий як «Алгоритм генерації домену» (DGA), використовується для створення до 32 різних доменів на день на ботнет. Домени були ідентифіковані та вже зареєстровані спеціальною групою Anti-Zloader, щоб гарантувати, що оператори ботнету не зможуть використовувати цей бічний канал для відновлення контролю над мережею зомбі.
Зловмисне програмне забезпечення як послуга як модель розповсюдження
На підпільних форумах Zloader рекламували як товарне шкідливе програмне забезпечення. Потенційним зловмисникам тут не обов’язково мати знання програмування, але вони можуть скористатися повним пакетом послуг eCrime. Окрім шкідливого коду, сюди також входять послуги та рекламні заходи для атаки та зараження комп’ютерів. Покупці отримують повну інфраструктуру для розгортання шкідливих програм, а також для налаштування та контролю власного ботнету.
Фон шкідливого ПЗ Zloader
Перша версія Zloader (V.1.0.0.0), виявлена компанією ESET (тоді оголошена та рекламована на підпільних форумах як «Silent Night»), датується 09 листопада 2019 року та базується на витоку програмного коду банківського трояна Zeus. Поширення відбувалося, серед іншого, через спам-розсилку з підробленими файлами Office на тему Covid-19. Потім різні групи eCrime використовують набори експлойтів RIG, спам-електронні листи з підробленими рахунками-фактурами (макроси XLS) і кампанії Google Ads, щоб заманити потенційних жертв на маніпульовані веб-сайти з інфікованими завантаженнями. Використання наборів експлойтів є доцільним для розповсюдження шкідливого коду, оскільки ці інструменти, якими торгують на форумах eCrime, можна використовувати для цілеспрямованого й автоматизованого пошуку прогалин у комп’ютерних програмах.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.