Microsoft ha completato un’operazione su larga scala e disabilitato dozzine di domini che la nota botnet ZLoader utilizzava come server di comando e controllo.
Microsoft ha ricevuto un permesso speciale dal tribunale distrettuale degli Stati Uniti per il distretto settentrionale della Georgia, per eseguire l’operazione, che ha coinvolto anche esperti di FS-ISAC, H-ISAC, ESET, Black Lotus Labs (divisione di intelligence sulle minacce di Lumen), Palo Alto Networks Unit 42 e Avast.
Alla fine, l’azienda ha preso il controllo di 65 domini codificati che gli operatori ZLoader utilizzano per controllare la botnet, nonché di altri 319 domini registrati DGA che gli hacker hanno utilizzato per creare canali di comunicazione ridondanti.
“La botnet ZLoader è costituita da dispositivi informatici in aziende, ospedali, scuole e case di tutto il mondo ed è gestita da un gruppo criminale internazionale che offre malware come servizio (MaaS) progettato per rubare ed estorcere denaro”, affermano gli esperti di sicurezza informatica. “Durante l’indagine, abbiamo scoperto che uno degli autori della creazione di un componente utilizzato nella botnet ZLoader per distribuire ransomware è Denis Malikov, che vive nella città di Simferopol, nella penisola di Crimea. Abbiamo deciso di nominare la persona in relazione a questo caso per chiarire che i criminali informatici non sono autorizzati a nascondersi dietro l’anonimato online per commettere i loro crimini”.
Zloader il pericoloso trojan bancario ora fa meno paura grazie a Microsoft
Zloader (alias Terdot o DELoader) è un noto Trojan bancario scoperto per la prima volta nell’agosto 2015 durante gli attacchi ai clienti di diverse società finanziarie britanniche. Le sue capacità includono l’acquisizione di schermate, la raccolta di cookie, il furto di credenziali e informazioni bancarie, lo svolgimento di ricognizioni sul dispositivo, l’attivazione di meccanismi di “blocco” sul dispositivo, l’accesso remoto agli aggressori e così via. Il malware è quasi interamente basato sul codice sorgente del Trojan Zeus, che è trapelato oltre un decennio fa.
Inizialmente, il malware è stato utilizzato attivamente per attaccare le banche di tutto il mondo, e il suo obiettivo finale era raccogliere dati finanziari utilizzando iniezioni web e social engineering per indurre i clienti bancari infetti a rinunciare alla propria autenticazione con codici e credenziali. Ma negli ultimi anni, Zloader si è evoluto per includere molte altre funzionalità, come essere in grado di fungere da backdoor e fornire agli hacker l’accesso remoto a un sistema infetto. Lo stesso può anche essere utilizzato come caricatore di malware e per installare payload aggiuntivi.
“Il nostro intervento ha lo scopo di disabilitare l’infrastruttura ZLoader, il che dovrebbe rendere difficile per questo gruppo criminale organizzato continuare le sue attività”, ha scritto Microsoft. “Ci aspettiamo che i criminali si impegnino per ripristinare l’attività di Zloader. Abbiamo deferito questo caso alle forze dell’ordine, stiamo monitorando da vicino le attività [di questo gruppo] e continueremo a lavorare con i nostri partner”.
- 1 anno di servizi di licenza, tra cui sandboxing, Web Security, Application Security, Malware Blocker, IDP,
- Reputation Filter, Geo Enforcer, SecuReporter, Managed AP
- Velocità effettiva del firewall di 1.000 Mbps con max. 300.000 sessioni TCP simultanee
- Velocità effettiva di 250 Mbps UTM (AV-IDP) e supporto multi-WAN (Ethernet, SFP)
- L'intelligenza Global Threat identifica i file sconosciuti, fornendo un aggiornamento giornaliero ad ogni nuova minaccia ed evolvendosi di continuo