A Microsoft realizou outra remoção contra criminosos cibernéticos, desta vez para desmantelar a infraestrutura do botnet ZLoader. O malware ZLoader infectou milhares de organizações, principalmente nos EUA, Canadá e Índia. Ele é muito conhecido por ter distribuído o ransomware Conti.
A Microsoft agora recebeu uma ordem judicial do Tribunal Distrital dos EUA para o Distrito Norte da Geórgia que lhe permitiu apreender 65 domínios que a gangue ZLoader estava usando para comando e controle (C&C) para seu botnet construído a partir de malware que infectava empresas, hospitais, escolas e lares.
Esses domínios agora direcionam para um local da Microsoft, fora do controle da gangue ZLoader.
A Microsoft também ganhou controle sobre os domínios que o ZLoader usou para seu algoritmo de geração de domínio (DGA), que são usados para criar automaticamente novos domínios para o C2 da botnet.
O Zloader contém um algoritmo de geração de domínio (DGA) embutido no malware que cria domínios adicionais como um canal de comunicação alternativo ou de backup para a botnet. Além dos domínios codificados, a ordem judicial nos permite controlar mais 319 atualmente registrados Também estamos trabalhando para bloquear o futuro registro de domínios DGA, disse Amy Hogan-Burney, gerente geral da Unidade de Crimes Digitais da Microsoft.
Microsoft intercepta botnet que espalha ransomware
A Microsoft liderou a ação contra o ZLoader em parceria com pesquisadores da ESET, Lumen‘s Black Lotus Labs e Palo Alto Networks Unit 42. A Avast também auxiliou na investigação europeia da DCU da Microsoft. De acordo com a ESET, o Zloader tinha cerca de 14.000 amostras únicas e mais de 1.300 servidores C&C exclusivos.
A Microsoft reconhece que o ZLoader não terminou e também está trabalhando com ISPs para identificar e remediar infecções em sistemas infectados. Também é encaminhado o caso para a aplicação da lei.
A Microsoft em 2020 usou uma abordagem técnico-legal semelhante para derrubar o botnet Trickbot.
A Microsoft, em sua análise técnica do ZLoader, observa que o grupo usou o Google Ads para distribuir o ransomware Ryuk, permitindo que ele ignorasse a segurança de e-mail e aparecesse no navegador. Anúncios maliciosos e e-mail foram seus principais mecanismos de entrega. Cada campanha representava marcas de tecnologia conhecidas, incluindo Java, Zoom, TeamViewer e Discord.
“Os atores comprariam o Google Ads para termos-chave associados a esses produtos, como “videoconferência com zoom “. A Microsoft explica.
Para entrega de e-mail, o grupo costumava usar anexos do Microsoft Office e abusar de macros para infectar máquinas. As iscas para enganar as vítimas a abrir um documento e habilitar macros incluíam alertas COVID-19, pagamentos de faturas em atraso e currículos falsos.
Provavelmente ainda não é o fim da história, no entanto. “Nossa interrupção visa desabilitar a infraestrutura do ZLoader e tornar mais difícil para essa gangue de criminosos organizados continuar suas atividades. Esperamos que os réus façam esforços para reviver as operações do ZLoader”, disse a Microsoft.
Via ZDNET
