Microsoft, bu kez ZLoader botnet altyapısını ortadan kaldırmak için siber suçlulara karşı yeni bir yasal-teknik operasyon gerçekleştirdi.
ZLoader kötü amaçlı yazılımı binlerce kuruluşa bulaştı, ağırlıklı olarak Amerika Birleşik Devletleri, Kanada ve Hindistan’dave bir Conti fidye yazılımını dağıttığı biliniyor.
Microsoft, ZLoader Group’un şirketlere, hastanelere, okullara ve özel cihazlara bulaşan kötü amaçlı yazılımlardan oluşturulan botnetinin komuta ve kontrol (C&C) sunucuları için kullandığı 65 etki alanını ele geçirmesine izin veren bir ABD mahkemesi kararı aldı.
Bu etki alanları artık Microsoft tarafından kontrol edilen ve ZLoader grubunun kontrolü dışında olan bir “düden”e yönlendirilmektedir.
Microsoft ayrıca, botnet’in kontrol sunucuları için otomatik olarak yeni etki alanları oluşturmak için kullanılan Etki Alanı Oluşturma Algoritması (DGA) aracılığıyla ZLoader tarafından kullanılan etki alanlarının kontrolünü de aldı.
“Zloader, botnet için ek yedek veya kurtarma alanları oluşturan kötü amaçlı yazılıma yerleşik bir Etki Alanı Oluşturma Algoritması (DGA) kullanır. Sabit kodlanmış alanlara ek olarak, mahkeme kararı, algoritma tarafından oluşturulan başka bir 319 alanın kontrolünü ele geçirmemize izin verir. ve kayıtlı. Ayrıca DGA alan adlarının gelecekteki kayıtlarını engellemek için çalışıyoruz” dedi. Amy Hogan-Burney, Microsoft’un Dijital Suçlar Birimi Genel Müdürü.
Microsoft, aşağıdakilerden araştırmacılarla ortaklaşa ZLoader aleyhine dava açtı:ESETile ilgili Lümenile ilgili Siyah Lotus Laboratuvarları ve Palo Alto Networks Birimi 42. Avast, Microsoft’un Avrupa anketine de katıldı. ESET’e göre, Zloader’ın yaklaşık 14.000 benzersiz örneği ve 1.300’ün üzerinde benzersiz kontrol sunucusu vardı.
Microsoft, ZLoader’ın tamamen kaldırılmadığının farkındadır ve ayrıca virüslü sistemlerdeki enfeksiyonları belirlemek ve gidermek için ISP’lerle birlikte çalışmaktadır. Şirket ayrıca konuyu kolluk kuvvetlerine de havale etti.
2020’de Microsoft’un benzer bir yaklaşım kullandı Trickbot botnet’i çökertmek için.
onun ZLoader teknik analizi, Microsoft, grubun Ryuk fidye yazılımını dağıtmak için Google Ads’ü kullandığını ve tarayıcıda görünmesine izin verdiğini söylüyor. Kötü niyetli reklamlar ve e-postalar, birincil dağıtım mekanizmalarıydı. Her kampanya, Java, Zoom, TeamViewer ve Discord dahil olmak üzere tanınmış teknoloji şirketlerini temsil ediyordu.
“Oyuncular, ‘gibi bu ürünlerle ilişkili anahtar terimler için Google reklamları satın alıyordu.yakınlaştırma video konferansıMicrosoft, “Bu terimleri belirli bir süre boyunca Google’da arayan kullanıcılar, onları kötü amaçlı alanlara yönlendiren bir reklam gördüler,” diye açıklıyor.
ZLoader ayrıca kötü niyetli e-postalar yoluyla da dağıtıldı.Grup, makinelere bulaşmak için genellikle Microsoft Office eklerini ve kötüye kullanılan makroları kullandı. Kurbanları bir belgeyi açmaları ve makroları etkinleştirmeleri için kandırmak için kullanılan mesajlar arasında COVID-19 uyarıları, geç fatura ödemeleri ve sahte özgeçmişler yer alıyordu.
Ama bu muhtemelen hikayenin sonu değil. Microsoft, “Eylemimiz ZLoader’ın altyapısını devre dışı bırakmayı ve bu organize suç çetesinin çalışmaya devam etmesini zorlaştırmayı amaçlıyor. Sanıkların ZLoader’ın operasyonlarını yeniden başlatmak için çaba göstermelerini bekliyoruz.” dedi.
Kaynak : “ZDNet.com”