Microsoft et un consortium d’entreprises de cybersécurité ont pris des mesures juridiques et techniques pour perturber le Réseau de zombies ZLoaderprenant le contrôle de 65 domaines utilisés pour contrôler et communiquer avec les hôtes infectés.
« ZLoader est composé d’appareils informatiques dans les entreprises, les hôpitaux, les écoles et les foyers du monde entier et est géré par un gang mondial du crime organisé basé sur Internet qui exploite des logiciels malveillants en tant que service conçu pour voler et extorquer de l’argent », Amy Hogan- Burney, directeur général de la Digital Crimes Unit (DCU) de Microsoft, mentionné.
L’opération, a déclaré Microsoft, a été entreprise en collaboration avec ESET, Black Lotus Labs de Lumen, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) et Health Information Sharing and Analysis Center (H-ISAC). ).
À la suite de la perturbation, les domaines sont désormais redirigés vers un gouffre, empêchant efficacement les opérateurs criminels du botnet de contacter les appareils compromis. 319 autres domaines de sauvegarde générés via un algorithme de génération de domaine intégré (DGA) ont également été confisqués dans le cadre de la même opération.
ZLoader, comme son homologue notoire TrickBot, commencé en tant que dérivé du Cheval de Troie bancaire Zeus en novembre 2019 avant de subir des améliorations et des mises à niveau actives qui ont permis à d’autres acteurs de la menace d’acheter le logiciel malveillant sur des forums clandestins et de le réutiliser en fonction de leurs objectifs.
« ZLoader est resté pertinent en tant qu’outil de choix des attaquants en incluant des capacités d’évasion de la défense, comme la désactivation des outils de sécurité et antivirus, et en vendant l’accès en tant que service à d’autres groupes affiliés, tels que les opérateurs de ransomware », a déclaré Microsoft.
« Ses capacités incluent la capture d’écrans, la collecte de cookies, le vol d’informations d’identification et de données bancaires, la reconnaissance, le lancement de mécanismes de persistance, l’utilisation abusive d’outils de sécurité légitimes et la fourniture d’un accès à distance aux attaquants. »
La transition de ZLoader d’un cheval de Troie financier de base à une solution sophistiquée de malware-as-a-service (MaaS) a également permis aux opérateurs de monétiser les compromis en vendant l’accès à d’autres acteurs affiliés, qui en abusent ensuite pour déployer des charges utiles supplémentaires comme Cobalt Strike et les rançongiciels.
Les campagnes impliquant ZLoader ont abusé des e-mails de phishing, des logiciels de gestion à distance et de Google Ads malveillants pour obtenir un accès initial aux machines cibles, tout en utilisant simultanément plusieurs tactiques complexes pour échapper à la défense, notamment l’injection de code malveillant dans des processus légitimes.
Fait intéressant, une analyse des activités malveillantes du malware depuis février 2020 a révélé que la plupart des opérations provenaient de seulement deux affiliés depuis octobre 2020 : « dh8f3@3hdf#hsf23 » et « 03d5ae30a0bd934a23b6a7f0756aa504 ».
Alors que le premier a utilisé « la capacité de ZLoader à déployer des charges utiles arbitraires pour distribuer des charges utiles malveillantes à ses bots », l’autre affilié, actif à ce jour, semble s’être concentré sur le siphonnage des informations d’identification des banques, des plates-formes de crypto-monnaie et des sites de commerce électronique, la société slovaque de cybersécurité ESET mentionné.
Pour couronner le tout, Microsoft a également démasqué Denis Malikov, qui vit dans la ville de Simferopol sur la péninsule de Crimée, comme l’un des acteurs derrière le développement d’un module utilisé par le botnet pour distribuer des souches de rançongiciels, indiquant qu’il a choisi de nommer le l’auteur de « préciser que les cybercriminels ne seront pas autorisés à se cacher derrière l’anonymat d’Internet pour commettre leurs crimes ».
L’effort de retrait rappelle une opération mondiale visant à perturber le célèbre botnet TrickBot en octobre 2020. Bien que le botnet ait réussi à rebondir l’année dernière, il a depuis été retiré par les auteurs de logiciels malveillants au profit d’autres variantes furtives telles que BazarBackdoor.
« Comme de nombreuses variantes de logiciels malveillants modernes, l’installation de ZLoader sur un appareil n’est souvent que la première étape de ce qui finit par être une attaque plus importante », a déclaré Microsoft. « Le cheval de Troie illustre davantage la tendance des logiciels malveillants courants à héberger de plus en plus de menaces plus dangereuses. »