ZLoader
Con il permesso del tribunale, Microsoft ha preso il controllo di 65 domini utilizzati per controllare la botnet Zloader. È stato possibile individuarli grazie agli sforzi congiunti di un gruppo di lavoro, che includeva anche esperti di ESET, Laboratori del loto nero (come parte di Lumen), Avast, e l'Unità 42 divisione della società di sicurezza Palo Alto Networks.
Ora, quando si cerca C2 all'indirizzo cucito nel codice, le richieste dei bot residenti vengono reindirizzate a un server Microsoft fittizio (dolina). L'ordinanza del tribunale consente anche di neutralizzarne un altro 319 domini registrati dai coltivatori di bot. Questi nomi sono generati da DGA (il malware utilizza questo meccanismo come fallback), e il gruppo di lavoro si sta già attivando per bloccare simili registrazioni in futuro.
La dichiarazione di ESET in merito si riferisce a tre botnet Zloader: gli esperti li distinguono in base alla versione del malware che utilizzano. Le infezioni sono state registrate in tutto il mondo, con la più alta concentrazione nel Nord America, Giappone, e l'Europa occidentale.
Durante l'indagine, è stato inoltre possibile identificare l'autore del componente malware utilizzato per caricare il ransomware nella botnet; l'artigiano si è rivelato essere Denis Malikov di Simferopol.
Importanti minacce di sicurezza informatica rivelate a marzo 2025
Marzo 2025 ha visto un'evoluzione significativa nelle tattiche di minaccia informatica, Con i gruppi di ransomware che adottano nuove tecniche e ampliano le loro operazioni. I ricercatori della sicurezza hanno identificato diverse minacce ad alto impatto questo mese,…
PUA:Win32/RDPWrap – Cosa fare?
Se hai mai incontrato l'allerta PUA:Win32/RDPWrap sul tuo PC Windows, potresti chiederti: *È il mio sistema infetto? Dovrei prendere dal panico?* Mentre questo avvertimento può essere allarmante, è importante…
Secondo Microsoft, l’obiettivo dello sforzo era disattivare l’infrastruttura C2 di Zloader. Il nemico, Ovviamente, proverà a ripristinare il contatto con i bot perduti, ma le forze dell'ordine sono già state avvisate e saranno in allerta. Gli esperti di sicurezza informatica continueranno a monitorare gli sviluppi su questo fronte.
Il trojan modulare Zloader è apparso per la prima volta sulla scena Internet nel 2007 e inizialmente veniva utilizzato solo per rubare informazioni finanziarie ai proprietari di macchine Windows. Tuttavia, ha anche imparato a rubare altri dati (dai browser, Microsoft Outlook), registrare l'input da tastiera, fare screenshot, eludere il rilevamento, e scaricare ulteriore malware, compreso il ransomware.
I proprietari di Zloader hanno iniziato ad affittare la loro botnet, addebito per l'accesso ai computer infetti tramite MaaS (Malware come servizio) modello. Purtroppo, secondo Microsoft, i gruppi criminali dietro Ryuk, Lato oscuro, e BlackMatter ha approfittato di questa comodità. Il malware MaaS viene distribuito in vari modi, il più delle volte attraverso spam o annunci dannosi nei risultati di ricerca.
Dall'anno scorso, La popolarità di Zloader come downloader è diminuita, e ora lo usano solo due cybergruppi, secondo ESET. Tuttavia, è troppo presto per rilassarsi: gli esperti hanno scoperto una nuova versione del Trojan, 2.0, allo stato selvatico (campioni di prova compilati nel luglio dello scorso anno).