ZLoader
Za zgodą sądu, Microsoft przejął kontrolę 65 domeny używane do kontrolowania botnetu Zloader. Dzięki wspólnym wysiłkom grupy roboczej udało się je zidentyfikować, w którym uczestniczyli także eksperci z firmy ESET, Laboratoria Czarnego Lotosu (jako część Lumena), Avasta, i Jednostka 42 oddział firmy ochroniarskiej Palo Alto Networks.
Teraz, podczas wyszukiwania C2 pod adresem wszytym w kod, żądania od botów rezydentnych są przekierowywane na fałszywy serwer Microsoft (dziura). Nakaz sądu umożliwia także unieszkodliwienie innego 319 domeny zarejestrowane przez hodowców botów. Nazwy te są generowane przez DGA (złośliwe oprogramowanie wykorzystuje ten mechanizm jako rezerwowy), a grupa robocza już podejmuje działania mające na celu zablokowanie podobnych rejestracji w przyszłości.
Oświadczenie firmy ESET w tej sprawie odnosi się do trzech botnetów Zloader: eksperci rozróżniają je na podstawie wersji wykorzystywanego szkodliwego oprogramowania. Zakażenia odnotowano na całym świecie, z najwyższym stężeniem w Ameryce Północnej, Japonia, i Europie Zachodniej.
Podczas śledztwa, udało się także zidentyfikować twórcę komponentu szkodliwego oprogramowania wykorzystywanego do przesyłania oprogramowania ransomware do botnetu; rzemieślnikiem okazał się Denis Malikov z Symferopola.
Groźby cyberbezpieczeństwa ujawnione w marcu 2025
Marsz 2025 odnotowano znaczącą ewolucję w taktykach cybernetycznych, z grupami ransomware przyjmującymi nowe techniki i rozszerzają swoją działalność. Badacze bezpieczeństwa zidentyfikowali w tym miesiącu kilka zagrożeń o wysokim wpływie,…
PUA:Win32/rdpwrap – Co robić?
Jeśli kiedykolwiek spotkałeś ostrzeżenie pua:Win32/rdpwrap na komputerze systemu Windows, Być może zastanawiasz się: *Czy mój system jest zarażony? Czy powinienem panikować?* Podczas gdy to ostrzeżenie może być niepokojące, To ważne…
Zdaniem Microsoftu, celem tej akcji była dezaktywacja infrastruktury C2 Zloadera. Wróg, Oczywiście, spróbuje przywrócić kontakt z utraconymi botami, jednak organy ścigania zostały już powiadomione i będą w pogotowiu. Eksperci ds. bezpieczeństwa informacji będą w dalszym ciągu monitorować rozwój sytuacji w tym zakresie.
Modułowy trojan Zloader po raz pierwszy pojawił się na scenie internetowej w roku 2007 i początkowo był używany wyłącznie do kradzieży informacji finansowych od właścicieli komputerów z systemem Windows. Jednakże, nauczył się także kraść inne dane (z przeglądarek, Microsoft Outlook), zaloguj dane wejściowe z klawiatury, zrób zrzuty ekranu, uniknąć wykrycia, i pobierz dodatkowe złośliwe oprogramowanie, w tym oprogramowanie ransomware.
Właściciele Zloadera zaczęli wynajmować swój botnet, pobieranie opłat za dostęp do zainfekowanych komputerów za pomocą MaaS (Złośliwe oprogramowanie jako usługa) model. Niestety, według Microsoftu, grupy przestępcze stojące za Ryukiem, Ciemna Strona, i BlackMatter skorzystali z tej wygody. Szkodliwe oprogramowanie MaaS jest dystrybuowane na różne sposoby, najczęściej poprzez spam lub złośliwe reklamy w wynikach wyszukiwania.
Od zeszłego roku, Popularność Zloadera jako narzędzia pobierania spadła, i obecnie korzystają z niego tylko dwie cybergrupy, według ESET-a. Jednakże, jest za wcześnie na relaks: eksperci odkryli nową wersję trojana, 2.0, na wolności (próbki testowe zebrane w lipcu ubiegłego roku).