ZChargeur
Avec autorisation du tribunal, Microsoft a pris le contrôle de 65 domaines utilisés pour contrôler le botnet Zloader. Leur identification a été possible grâce aux efforts conjoints d'un groupe de travail, qui comprenait également des experts d'ESET, Laboratoires du Lotus Noir (dans le cadre de Lumen), Avast, et l'unité 42 division de la société de sécurité Palo Alto Networks.
Maintenant, lors de la recherche de C2 à l'adresse cousue dans le code, les requêtes des robots résidents sont redirigées vers un serveur Microsoft factice (gouffre). L'ordonnance du tribunal permet également de neutraliser un autre 319 domaines enregistrés par les producteurs de bots. Ces noms sont générés par la DGA (le malware utilise ce mécanisme comme solution de repli), et le groupe de travail prend déjà des mesures pour bloquer des enregistrements similaires à l'avenir.
La déclaration d'ESET à ce sujet fait référence à trois botnets Zloader: les experts les distinguent par la version du malware qu'ils utilisent. Des infections ont été enregistrées dans le monde entier, avec la plus forte concentration en Amérique du Nord, Japon, et Europe occidentale.
Au cours de l'enquête, il a également été possible d'identifier le créateur du composant malveillant utilisé pour télécharger le ransomware sur le botnet; l'artisan s'est avéré être Denis Malikov de Simferopol.
Les principales menaces de cybersécurité révélées en mars 2025
Mars 2025 a vu une évolution significative des tactiques de cyber-menace, avec des groupes de ransomwares adoptant de nouvelles techniques et élargissant leurs opérations. Les chercheurs en sécurité ont identifié plusieurs menaces à fort impact ce mois-ci,…
PUA:Win32 / rdpwrap – Ce qu'il faut faire?
Si vous avez déjà rencontré l'alerte PUA:Win32 / rdpwrap sur votre PC Windows, Vous vous demandez peut-être: *Mon système est-il infecté? Devrais-je paniquer?* Alors que cet avertissement peut être alarmant, c'est important…
Selon Microsoft, le but de l’effort était de désactiver l’infrastructure C2 de Zloader. L'ennemi, bien sûr, va essayer de rétablir le contact avec les robots perdus, mais les forces de l'ordre ont déjà été prévenues et seront en alerte. Les experts en sécurité de l’information continueront de suivre les évolutions sur ce front.
Le cheval de Troie modulaire Zloader est apparu pour la première fois sur la scène Internet en 2007 et était initialement utilisé uniquement pour voler des informations financières aux propriétaires de machines Windows.. Cependant, il a aussi appris à voler d'autres données (depuis les navigateurs, Microsoft Outlook), enregistrer la saisie au clavier, prendre des captures d'écran, échapper à la détection, et téléchargez des logiciels malveillants supplémentaires, y compris les rançongiciels.
Les propriétaires de Zloader ont commencé à louer leur botnet, facturer l’accès aux ordinateurs infectés à l’aide du MaaS (Logiciel malveillant en tant que service) modèle. Malheureusement, selon Microsoft, les groupes criminels derrière Ryuk, Côté obscur, et BlackMatter a profité de cette commodité. Les logiciels malveillants MaaS sont distribués de différentes manières, le plus souvent via du spam ou des publicités malveillantes dans les résultats de recherche.
Depuis l'année dernière, La popularité de Zloader en tant que téléchargeur a diminué, et maintenant seuls deux cybergroupes l'utilisent, selon ESET. Cependant, il est trop tôt pour se détendre: les experts ont découvert une nouvelle version du cheval de Troie, 2.0, à l'état sauvage (des échantillons de test compilés en juillet de l'année dernière).