Microsoft et un consortium d’entreprises de cybers\u00e9curit\u00e9 ont pris des mesures juridiques et techniques pour perturber le R\u00e9seau de zombies ZLoader<\/b>prenant le contr\u00f4le de 65 domaines utilis\u00e9s pour contr\u00f4ler et communiquer avec les h\u00f4tes infect\u00e9s.<\/p>\n
“ZLoader est compos\u00e9 d’appareils informatiques dans les entreprises, les h\u00f4pitaux, les \u00e9coles et les foyers du monde entier et est g\u00e9r\u00e9 par un gang mondial du crime organis\u00e9 bas\u00e9 sur Internet qui exploite des logiciels malveillants en tant que service con\u00e7u pour voler et extorquer de l’argent”, Amy Hogan- Burney, directeur g\u00e9n\u00e9ral de la Digital Crimes Unit (DCU) de Microsoft, mentionn\u00e9<\/a>.<\/p>\n L’op\u00e9ration, a d\u00e9clar\u00e9 Microsoft, a \u00e9t\u00e9 entreprise en collaboration avec ESET, Black Lotus Labs de Lumen, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) et Health Information Sharing and Analysis Center (H-ISAC). ).<\/p>\n \u00c0 la suite de la perturbation, les domaines sont d\u00e9sormais redirig\u00e9s vers un gouffre, emp\u00eachant efficacement les op\u00e9rateurs criminels du botnet de contacter les appareils compromis. 319 autres domaines de sauvegarde g\u00e9n\u00e9r\u00e9s via un algorithme de g\u00e9n\u00e9ration de domaine int\u00e9gr\u00e9 (DGA<\/a>) ont \u00e9galement \u00e9t\u00e9 confisqu\u00e9s dans le cadre de la m\u00eame op\u00e9ration.<\/p>\n ZLoader, comme son homologue notoire TrickBot, commenc\u00e9<\/a> en tant que d\u00e9riv\u00e9 du Cheval de Troie bancaire Zeus<\/a> en novembre 2019 avant de subir des am\u00e9liorations et des mises \u00e0 niveau actives qui ont permis \u00e0 d’autres acteurs de la menace d’acheter le logiciel malveillant sur des forums clandestins et de le r\u00e9utiliser en fonction de leurs objectifs.<\/p>\n “ZLoader est rest\u00e9 pertinent en tant qu’outil de choix des attaquants en incluant des capacit\u00e9s d’\u00e9vasion de la d\u00e9fense, comme la d\u00e9sactivation des outils de s\u00e9curit\u00e9 et antivirus, et en vendant l’acc\u00e8s en tant que service \u00e0 d’autres groupes affili\u00e9s, tels que les op\u00e9rateurs de ransomware”, a d\u00e9clar\u00e9 Microsoft.<\/p>\n “Ses capacit\u00e9s incluent la capture d’\u00e9crans, la collecte de cookies, le vol d’informations d’identification et de donn\u00e9es bancaires, la reconnaissance, le lancement de m\u00e9canismes de persistance, l’utilisation abusive d’outils de s\u00e9curit\u00e9 l\u00e9gitimes et la fourniture d’un acc\u00e8s \u00e0 distance aux attaquants.”<\/p>\n La transition de ZLoader d’un cheval de Troie financier de base \u00e0 une solution sophistiqu\u00e9e de malware-as-a-service (MaaS) a \u00e9galement permis aux op\u00e9rateurs de mon\u00e9tiser les compromis en vendant l’acc\u00e8s \u00e0 d’autres acteurs affili\u00e9s, qui en abusent ensuite pour d\u00e9ployer des charges utiles suppl\u00e9mentaires comme Cobalt Strike et les ran\u00e7ongiciels.<\/p>\n Les campagnes impliquant ZLoader ont abus\u00e9 des e-mails de phishing, des logiciels de gestion \u00e0 distance et de Google Ads malveillants pour obtenir un acc\u00e8s initial aux machines cibles, tout en utilisant simultan\u00e9ment plusieurs tactiques complexes pour \u00e9chapper \u00e0 la d\u00e9fense, notamment l’injection de code malveillant dans des processus l\u00e9gitimes.<\/p>\n Fait int\u00e9ressant, une analyse des activit\u00e9s malveillantes du malware depuis f\u00e9vrier 2020 a r\u00e9v\u00e9l\u00e9 que la plupart des op\u00e9rations provenaient de seulement deux affili\u00e9s depuis octobre 2020 : \u00ab dh8f3@3hdf#hsf23 \u00bb et \u00ab 03d5ae30a0bd934a23b6a7f0756aa504 \u00bb.<\/p>\n Alors que le premier a utilis\u00e9 “la capacit\u00e9 de ZLoader \u00e0 d\u00e9ployer des charges utiles arbitraires pour distribuer des charges utiles malveillantes \u00e0 ses bots”, l’autre affili\u00e9, actif \u00e0 ce jour, semble s’\u00eatre concentr\u00e9 sur le siphonnage des informations d’identification des banques, des plates-formes de crypto-monnaie et des sites de commerce \u00e9lectronique, la soci\u00e9t\u00e9 slovaque de cybers\u00e9curit\u00e9 ESET mentionn\u00e9<\/a>.<\/p>\n Pour couronner le tout, Microsoft a \u00e9galement d\u00e9masqu\u00e9 Denis Malikov, qui vit dans la ville de Simferopol sur la p\u00e9ninsule de Crim\u00e9e, comme l’un des acteurs derri\u00e8re le d\u00e9veloppement d’un module utilis\u00e9 par le botnet pour distribuer des souches de ran\u00e7ongiciels, indiquant qu’il a choisi de nommer le l’auteur de “pr\u00e9ciser que les cybercriminels ne seront pas autoris\u00e9s \u00e0 se cacher derri\u00e8re l’anonymat d’Internet pour commettre leurs crimes”.<\/p>\n L’effort de retrait rappelle une op\u00e9ration mondiale visant \u00e0 perturber le c\u00e9l\u00e8bre botnet TrickBot en octobre 2020. Bien que le botnet ait r\u00e9ussi \u00e0 rebondir l’ann\u00e9e derni\u00e8re, il a depuis \u00e9t\u00e9 retir\u00e9 par les auteurs de logiciels malveillants au profit d’autres variantes furtives telles que BazarBackdoor.<\/p>\n “Comme de nombreuses variantes de logiciels malveillants modernes, l’installation de ZLoader sur un appareil n’est souvent que la premi\u00e8re \u00e9tape de ce qui finit par \u00eatre une attaque plus importante”, a d\u00e9clar\u00e9 Microsoft. “Le cheval de Troie illustre davantage la tendance des logiciels malveillants courants \u00e0 h\u00e9berger de plus en plus de menaces plus dangereuses.”<\/p>\n <\/p>\n<\/div>\n<\/a><\/div>\n
![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/Microsoft-perturbe-le-botnet-de-cybercriminalite-ZLoader-dans-son-fonctionnement.jpg\")
<\/div>\n<\/a><\/div>\n