Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Отримуйте програмне забезпечення протягом декількох хвилин з моменту розміщення замовлення! Автоматична система працює цілодобово 24/7
Microsoft ліквідував відомого ботнета ZLoader Cybercrime

Microsoft ліквідував відомого ботнета ZLoader Cybercrime

Компанія Microsoft та організації, що займаються кібербезпекою, ліквідували роботу ботнету ZLoader. Як результат, встановлено контроль над 65 доменами, які використовувалися для зв'язку із зараженими хостами.

zloader-head_ua-min (1).jpg

«ZLoader включає цифрові пристрої в компаніях, медичних установах, школах, житлових будинках. Управління вірусом здійснювалося угрупуванням зловмисників, які використовували шкідливе програмне забезпечення для розкрадання та вимагання грошових коштів» - зазначив генеральний директор відділу боротьби з інтернет-злочинами Microsoft (DCU) Емі Хоган.

За даними Microsoft, операція була проведена у співпраці з ESET, Lumen's Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Центром обміну та аналізу інформації про фінансові послуги (FS-ISAC) та Центром обміну та аналізу медичної інформації (H-ISAC) .

Ще 319 резервних доменів, створених за допомогою вбудованого алгоритму генерації доменів (DGA), також було конфісковано в рамках тієї ж операції.

ZLoader, як і його аналог TrickBot, запускався на кшталт банківського трояна Zeus у листопаді 2019 року. Після цього активно вдосконалювався та оновлювався, що дозволило зловмисникам використовувати шкідливе ПЗ на підпільних форумах та перепрофілювати його для досягнення своїх цілей.

«ZLoader і зараз є першочерговим для зловмисників, включаючи можливості ухилення від захисту. До них відноситься відключення засобів безпеки та антивірусів, продаж доступу як послуги іншим афілійованим групам, таким як оператори програм-вимагачів», - наголошується в повідомленні Microsoft.

ботнет-1.jpg

Ботнет здатний робити захоплення знімків екрана, збирати файли cookie, вилучати облікові дані, банківську інформацію, запускати механізми збереження. Він неправомірно використовує засоби безпеки, надає віддалений доступ зловмисникам.

Перехід ZLoader від простого фінансового трояна до складного рішення «шкідливе програмне забезпечення як послуга» (MaaS) дозволив операторам монетизувати компрометацію. Це сталося завдяки продажу доступу іншим афілійованим особам, які його незаконно використовують для розгортання додаткових корисних навантажень.

Кампанії за участю ZLoader застосовували фішингові електронні листи, програмне забезпечення для віддаленого управління та шахрайську рекламу Google Ads. Таким чином, вони отримували доступ до цільових пристроїв, одночасно використовуючи кілька складних тактик для ухилення від захисту, у тому числі шкідливий код.
Примітно, що аналіз шкідливої ​​активності ПЗ показав, що з жовтня 2020 більшість операцій здійснювалася всього від двох афілійованих осіб: «dh8f3@3hdf#hsf23» і «03d5ae30a0bd934a23b6a7f0756aa504».

Перший використав «здатність ZLoader розгортати довільні корисні навантаження для їх поширення на своїх роботів». Інша філія, активна на сьогоднішній день, зосередилася на вилученні облікових даних із банківських, криптовалютних платформ та сайтів електронної комерції. Про це повідомив представник словацької фірми ESET.

Крім того, Microsoft викрила Дениса Малікова, який проживає в місті Сімферополь у Криму, причетного до угруповання ZLoader. Він розробляв модуль, який використовувався ботнетом для поширення штамів програм-вимагачів.
У Microsoft вирішили не приховувати його ім'я, щоб "ясно дати зрозуміти, що кіберзлочинцям не дозволять ховатися за анонімністю в Інтернеті для скоєння своїх злочинів".

"Як і багато сучасних варіантів шкідливих програм, розміщення ZLoader на пристрої часто є лише першим кроком у тому, що в кінцевому підсумку стає більшою атакою", - заявили в Microsoft .
У компанії вважають, що троянець підтверджує тенденцію того, що популярне шкідливе ПЗ найчастіше містить у собі все більш небезпечні загрози.