ZLoader
Com permissão judicial, Microsoft assumiu o controle de 65 domínios usados para controlar o botnet Zloader. Foi possível identificá-los através dos esforços conjuntos de um grupo de trabalho, que também incluiu especialistas da ESET, Laboratórios Black Lotus (como parte do Lumen), Avast, e a Unidade 42 divisão da empresa de segurança Palo Alto Networks.
Agora, ao procurar por C2 no endereço costurado no código, solicitações de bots residentes são redirecionadas para um servidor fictício da Microsoft (buraco). A ordem judicial também permite neutralizar outro 319 domínios registrados por produtores de bots. Esses nomes são gerados pela DGA (o malware usa esse mecanismo como alternativa), e o grupo de trabalho já está tomando medidas para bloquear registros semelhantes no futuro.
A declaração da ESET sobre o assunto refere-se a três botnets Zloader: os especialistas os distinguem pela versão do malware que usam. Infecções foram registradas em todo o mundo, com a maior concentração na América do Norte, Japão, e Europa Ocidental.
Durante a investigação, também foi possível identificar o criador do componente de malware usado para enviar ransomware para a botnet; o artesão era Denis Malikov de Simferopol.
Vírus de extensão SwiftSeek Chrome
Nossos pesquisadores encontraram recentemente o SwiftSeek, uma extensão de navegador encontrada em um instalador promovido por uma página enganosa durante uma verificação de rotina de sites suspeitos. Browser hijackers like SwiftSeek change…
Vírus de voz (.Voz do arquivo) Ransomware
O vírus Hlas é um novo membro da família de ransomware STOP/Djvu que tem como alvo PCs com Windows. Ele causa interrupções significativas ao criptografar arquivos e anexar um “.Voz” extensão aos seus…
De acordo com a Microsoft, o objetivo do esforço era desativar a infraestrutura C2 do Zloader. O inimigo, claro, tentará restaurar o contato com os bots perdidos, mas as agências de aplicação da lei já foram notificadas e estarão em alerta. Especialistas em segurança da informação continuarão monitorando os desenvolvimentos nesta frente.
O Trojan Zloader modular apareceu pela primeira vez no cenário da Internet em 2007 e foi inicialmente usado apenas para roubar informações financeiras de proprietários de máquinas Windows. No entanto, ele também aprendeu a roubar outros dados (de navegadores, Microsoft Outlook), registrar entrada do teclado, tirar capturas de tela, escapar da detecção, e baixar malware adicional, incluindo ransomware.
Proprietários de Zloader começaram a alugar seu botnet, cobrando pelo acesso a computadores infectados usando o MaaS (Malware como serviço) modelo. Infelizmente, de acordo com a Microsoft, os grupos criminosos por trás de Ryuk, Lado Sombrio, e a BlackMatter aproveitou essa comodidade. O malware MaaS é distribuído de várias maneiras, na maioria das vezes por meio de spam ou anúncios maliciosos nos resultados de pesquisa.
Desde o ano passado, A popularidade do Zloader como downloader diminuiu, e agora apenas dois cibergrupos o utilizam, de acordo com a ESET. No entanto, é muito cedo para relaxar: especialistas descobriram uma nova versão do Trojan, 2.0, na natureza (amostras de teste compiladas em julho do ano passado).