ZLoader
Met toestemming van de rechtbank, Microsoft heeft de controle overgenomen 65 domeinen die worden gebruikt om het Zloader-botnet te besturen. Dankzij de gezamenlijke inspanningen van een werkgroep konden ze worden geïdentificeerd, waar ook experts van ESET bij betrokken waren, Zwarte Lotus Labs (als onderdeel van Lumen), Avast, en de Eenheid 42 divisie van het beveiligingsbedrijf Palo Alto Networks.
Nu, bij het zoeken naar C2 op het adres dat in de code is ingenaaid, verzoeken van residente bots worden doorgestuurd naar een dummy Microsoft-server (zinkgat). Het gerechtelijk bevel maakt het ook mogelijk om een ander te neutraliseren 319 domeinen geregistreerd door botkwekers. Deze namen worden gegenereerd door DGA (de malware gebruikt dit mechanisme als terugval), en de werkgroep onderneemt al actie om soortgelijke registraties in de toekomst te blokkeren.
De verklaring van ESET hierover verwijst naar drie Zloader-botnets: experts onderscheiden ze op basis van de versie van de malware die ze gebruiken. Er zijn wereldwijd besmettingen geregistreerd, met de hoogste concentratie in Noord-Amerika, Japan, en West-Europa.
Tijdens het onderzoek, het was ook mogelijk om de maker van de malwarecomponent te identificeren die werd gebruikt om ransomware naar het botnet te uploaden; de vakman bleek Denis Malikov uit Simferopol te zijn.
Grote cybersecurity -bedreigingen onthulden in maart 2025
Maart 2025 heeft een belangrijke evolutie gezien in tactieken van cyberdreigingen, met ransomware -groepen die nieuwe technieken aannemen en hun activiteiten uitbreiden. Beveiligingsonderzoekers hebben deze maand verschillende bedreigingen met een hoge impact geïdentificeerd,…
PUA:Win32/rdpwrap – Wat te doen?
Als je ooit de alert PUA bent tegengekomen:Win32/rdpwrap op uw Windows -pc, Je vraagt je misschien af: *Is mijn systeem geïnfecteerd? Moet ik in paniek raken?* Hoewel deze waarschuwing alarmerend kan zijn, het is belangrijk…
Volgens Microsoft, Het doel van de inspanning was om de C2-infrastructuur van Zloader te deactiveren. De vijand, Natuurlijk, zal proberen het contact met de verloren bots te herstellen, maar wetshandhavingsinstanties zijn al op de hoogte gebracht en zullen alert zijn. Experts op het gebied van informatiebeveiliging zullen de ontwikkelingen op dit front blijven volgen.
De modulaire Zloader Trojan verscheen voor het eerst op het internet in 2007 en werd aanvankelijk alleen gebruikt om financiële informatie te stelen van eigenaren van Windows-machines. Echter, hij leerde ook andere gegevens stelen (van browsers, Microsoft Outlook), toetsenbordinvoer registreren, maak schermafbeeldingen, detectie ontwijken, en download extra malware, inclusief ransomware.
Zloader-eigenaren begonnen hun botnet te verhuren, kosten in rekening brengen voor toegang tot geïnfecteerde computers met behulp van MaaS (Malware-as-a-Service) model. Helaas, volgens Microsoft, de criminele groepen achter Ryuk, Donkere kant, en BlackMatter profiteerden van dit gemak. MaaS-malware wordt op verschillende manieren verspreid, meestal via spam of kwaadaardige advertenties in zoekresultaten.
Sinds vorig jaar, De populariteit van Zloader als downloader is afgenomen, en nu gebruiken slechts twee cybergroepen het, volgens ESET. Echter, het is te vroeg om te ontspannen: experts hebben een nieuwe versie van de Trojan ontdekt, 2.0, in het wild (testmonsters verzameld in juli vorig jaar).