Microsoft y un consorcio de empresas de ciberseguridad tomaron medidas legales y técnicas para interrumpir el Red de bots ZLoadertomando el control de 65 dominios que se usaban para controlar y comunicarse con los hosts infectados.
«ZLoader está compuesto por dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo y está dirigido por una banda mundial del crimen organizado basada en Internet que opera malware como un servicio diseñado para robar y extorsionar dinero», Amy Hogan- Burney, gerente general de la Unidad de Delitos Digitales (DCU) de Microsoft, dicho.
La operación, dijo Microsoft, se llevó a cabo en colaboración con ESET, Lumen’s Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) y Health Information Sharing and Analysis Center (H-ISAC). ).
Como resultado de la interrupción, los dominios ahora se redirigen a un sumidero, lo que evita que los operadores criminales de la botnet se comuniquen con los dispositivos comprometidos. Otros 319 dominios de respaldo que se generaron a través de un algoritmo de generación de dominio integrado (DGA) también han sido confiscados como parte de la misma operación.
ZLoader, al igual que su notoria contraparte TrickBot, empezado como derivado de la Troyano bancario Zeus en noviembre de 2019 antes de someterse a mejoras y actualizaciones activas que han permitido a otros actores de amenazas comprar el malware de foros clandestinos y reutilizarlo para cumplir sus objetivos.
«ZLoader se ha mantenido relevante como la herramienta elegida por los atacantes al incluir capacidades de evasión de defensa, como deshabilitar herramientas de seguridad y antivirus, y vender acceso como servicio a otros grupos afiliados, como operadores de ransomware», dijo Microsoft.
«Sus capacidades incluyen capturar capturas de pantalla, recopilar cookies, robar credenciales y datos bancarios, realizar reconocimientos, lanzar mecanismos de persistencia, hacer mal uso de herramientas de seguridad legítimas y proporcionar acceso remoto a los atacantes».
La transición de ZLoader de un troyano financiero básico a una solución sofisticada de malware como servicio (MaaS) también ha hecho posible que los operadores moneticen los compromisos al vender el acceso a otros actores afiliados, quienes luego lo usan indebidamente para implementar cargas útiles adicionales. como Cobalt Strike y ransomware.
Las campañas que involucran a ZLoader han abusado de los correos electrónicos de phishing, el software de administración remota y los anuncios falsos de Google para obtener acceso inicial a las máquinas de destino, al mismo tiempo que utilizan varias tácticas complejas para evadir la defensa, incluida la inyección de código malicioso en procesos legítimos.
Curiosamente, un análisis de las actividades maliciosas del malware desde febrero de 2020 reveló que la mayoría de las operaciones se originaron en solo dos afiliados desde octubre de 2020: «dh8f3@3hdf#hsf23» y «03d5ae30a0bd934a23b6a7f0756aa504».
Mientras que el primero usó «la capacidad de ZLoader para implementar cargas arbitrarias para distribuir cargas maliciosas a sus bots», el otro afiliado, activo hasta la fecha, parece haberse centrado en desviar credenciales de bancos, plataformas de criptomonedas y sitios de comercio electrónico, firma de ciberseguridad eslovaca. ESET dicho.
Para colmo, Microsoft también desenmascaró a Denis Malikov, que vive en la ciudad de Simferopol en la península de Crimea, como uno de los actores detrás del desarrollo de un módulo utilizado por la botnet para distribuir cepas de ransomware, afirmando que eligió nombrar el perpetrador para «dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus delitos».
El esfuerzo de eliminación recuerda una operación global para interrumpir la notoria botnet TrickBot en octubre de 2020. Aunque la botnet logró recuperarse el año pasado, los autores del malware la retiraron desde entonces a favor de otras variantes sigilosas como BazarBackdoor.
“Al igual que muchas variantes modernas de malware, poner ZLoader en un dispositivo a menudo es solo el primer paso en lo que termina siendo un ataque más grande”, dijo Microsoft. «El troyano ejemplifica aún más la tendencia del malware común que cada vez alberga amenazas más peligrosas».