Компания Microsoft завершила масштабную операцию и отключила десятки доменов, которые известный ботнет ZLoader использовал качестве управляющих серверов.
Для проведения операции, в которой также участвовали эксперты FS-ISAC, H-ISAC, ESET, Black Lotus Labs (подразделение Lumen по анализу угроз), Palo Alto Networks Unit 42 и Avast, Microsoft получила специальное распоряжение суда.
В итоге компания захватила контроль над 65 жестко закодированными доменами, которые операторы ZLoader используют для управления ботнетом, а также еще над 319 доменами, зарегистрированным с использованием DGA, которые хакеры применяли для создания резервных каналов связи.
«Ботнет ZLoader состоит из вычислительных устройств на предприятиях, в больницах, школах и домах по всему миру и управляется международной преступной группой, предлагающей как услугу (MaaS) вредоносное ПО, предназначенное для кражи и вымогательства денег, — заявляют эксперты. — В ходе расследования мы установили, что одним из виновных в создании компонента, используемого в ботнете ZLoader для распространения программ-вымогателей, является Денис Маликов, проживающий в городе Симферополе на Крымском полуострове. Мы решили назвать имя человека в связи с этим делом, чтобы прояснить, что киберпреступникам не позволено прятаться за анонимностью в интернете для совершения своих преступлений».
Zloader (он же Terdot или DELoader) — известный банковский троян, впервые обнаруженный еще в августе 2015 года во время атак на клиентов нескольких британских финансовых компаний. Его возможности включают захват снимков экрана, сбор файлов cookie, кражу учетных и банковских данных, проведение разведки на устройстве, запуск механизмов «закрепления» на устройстве, предоставление злоумышленникам удаленного доступа и так далее. Малварь почти полностью основана на исходном коде трояна Zeus, который утек в сеть более десяти лет назад.
Сначала вредонос активно использовался для атак на банки по всему миру, от Австралии и Бразилии до Северной Америки, а его конечной целью был сбор финансовых данных с помощью веб-инъекций и социальной инженерии, чтобы обманом вынудить зараженных клиентов банка выдать свои коды аутентификации и учетные данные. Но в последние годы Zloader эволюционировал и обзавелся множеством других функций, например, он может работать как бэкдор и предоставлять хакерам удаленный доступ к зараженной системе, а также его можно использовать в качестве загрузчика малвари и для установки дополнительных полезных нагрузок.
«Наше вмешательство направлено на вывод из строя инфраструктуры ZLoader, что должно затруднить продолжение деятельности этой организованной преступной группы, — пишут специалисты Microsoft. — Мы ожидаем, что преступники приложат усилия для восстановления деятельности Zloader. Мы передали это дело в правоохранительные органы, внимательно отслеживаем деятельность [этой группы] и будем продолжать работать с нашими партнерами».