ZLoader
Med rettens tilladelse, Microsoft tog kontrol over 65 domæner, der bruges til at styre Zloader-botnettet. Det var muligt at identificere dem gennem en fælles indsats fra en arbejdsgruppe, som også omfattede eksperter fra ESET, Black Lotus Labs (som en del af Lumen), Avast, og enheden 42 afdeling af sikkerhedsselskabet Palo Alto Networks.
Nu, når du søger efter C2 på den adresse, der er syet ind i koden, anmodninger fra residente bots omdirigeres til en dummy Microsoft-server (synkehul). Retskendelsen gør det også muligt at neutralisere en anden 319 domæner registreret af botavlere. Disse navne er genereret af DGA (malwaren bruger denne mekanisme som en reserve), og arbejdsgruppen er allerede i gang med at blokere for lignende registreringer i fremtiden.
ESETs udtalelse om sagen henviser til tre Zloader-botnets: eksperter adskiller dem ved den version af malware, de bruger. Infektioner er blevet registreret over hele verden, med den højeste koncentration i Nordamerika, Japan, og Vesteuropa.
Under undersøgelsen, det var også muligt at identificere skaberen af malware-komponenten, der blev brugt til at uploade ransomware til botnettet; håndværkeren viste sig at være Denis Malikov fra Simferopol.
SwiftSeek Chrome Extension Virus
Vores forskere stødte for nylig på SwiftSeek, en browserudvidelse fundet i et installationsprogram fremmet af en vildledende webside under et rutinetjek af mistænkelige websteder. Browser hijackers like SwiftSeek change…
Stemmevirus (.Filens stemme) Ransomware
The Hlas virus is a new member of the STOP/Djvu ransomware family that targets Windows PCs. It causes significant disruption by encrypting files and appending a “.Hlas” extension to their…
Ifølge Microsoft, indsatsens mål var at deaktivere Zloaders C2-infrastruktur. Fjenden, selvfølgelig, vil forsøge at genoprette kontakten med de tabte bots, men retshåndhævende myndigheder er allerede blevet underrettet og vil være på vagt. Informationssikkerhedseksperter vil fortsat overvåge udviklingen på denne front.
Den modulære Zloader Trojan dukkede først op på internetscenen i 2007 og blev oprindeligt kun brugt til at stjæle økonomiske oplysninger fra ejere af Windows-maskiner. Imidlertid, han lærte også at stjæle andre data (fra browsere, Microsoft Outlook), log tastaturinput, tage skærmbilleder, undgå afsløring, og download yderligere malware, inklusive ransomware.
Zloader-ejere begyndte at leje deres botnet ud, opladning for adgang til inficerede computere ved hjælp af MaaS (Malware-som-en-tjeneste) model. desværre, ifølge Microsoft, de kriminelle grupper bag Ryuk, Mørk side, og BlackMatter benyttede sig af denne bekvemmelighed. MaaS malware distribueres på forskellige måder, oftest via spam eller ondsindede annoncer i søgeresultaterne.
Siden sidste år, Zloaders popularitet som downloader er faldet, og nu bruger kun to cybergrupper det, ifølge ESET. Imidlertid, det er for tidligt at slappe af: eksperter har opdaget en ny version af trojaneren, 2.0, i det vilde (testprøver indsamlet i juli sidste år).