Microsoft poursuit son offensive contre les botnets et attaque ZLoader

Microsoft poursuit son offensive contre les botnets et attaque ZLoader

Microsoft a mené une nouvelle opération technico-légale contre les cybercriminels, cette fois pour démanteler l’infrastructure du botnet ZLoader.

Le malware ZLoader a infecté des milliers d’organisations, principalement aux États-Unis, au Canada et en IndeEt c’est connu pour avoir distribué le rançongiciel Conti.

Microsoft a obtenu une ordonnance d’un tribunal américain lui permettant de saisir 65 domaines que le groupe ZLoader utilisait pour les serveurs de commande et de contrôle (C&C) de son botnet construit à partir de logiciels malveillants qui infectaient des entreprises, des hôpitaux, des écoles et des appareils privés.

Ces domaines sont désormais dirigés vers un « gouffre » contrôlé par Microsoft, hors du contrôle du groupe ZLoader.

Microsoft a également pris le contrôle des domaines utilisés par ZLoader via son algorithme de génération de domaine (DGA), qui est utilisé pour créer automatiquement de nouveaux domaines pour les serveurs de contrôle du botnet.

“Zloader utilise un algorithme de génération de domaine (DGA) intégré dans le logiciel malveillant qui crée des domaines de sauvegarde ou de rançon supplémentaires pour le botnet. En plus des domaines brouillés, l’ordonnance du tribunal nous permet de prendre le contrôle de 319 autres domaines générés par l’algorithme. . et enregistrés. Nous nous efforçons également de bloquer les futurs enregistrements de domaines DGA », a-t-il déclaré. Amy Hogan-Burney, directrice générale de l’unité Microsoft Digital Crimes.

Microsoft a intenté une action contre ZLoader en association avec des chercheurs deESETdepuis lumensdepuis laboratoires de lotus noir Oui Palo Alto Réseaux Unité 42. Avast a également participé à l’enquête européenne de Microsoft. Selon ESET, Zloader comptait environ 14 000 échantillons uniques et plus de 1 300 serveurs de contrôle uniques.

Microsoft reconnaît que ZLoader n’est pas complètement supprimé et travaille également avec les FAI pour identifier et corriger les infections sur les systèmes infectés. L’entreprise a également référé l’affaire à la police.

En 2020, Microsoft utilisé une approche similaire pour éliminer le botnet Trickbot.

Dans son Analyse technique ZLoader, Microsoft affirme que le groupe a utilisé Google Ads pour distribuer le rançongiciel Ryuk, lui permettant d’apparaître dans le navigateur. Les publicités et les e-mails malveillants étaient leurs principaux mécanismes de diffusion. Chaque campagne se présentait comme des entreprises technologiques bien connues, notamment Java, Zoom, TeamViewer et Discord.

“Les acteurs achetaient des annonces Google pour les termes clés associés à ces produits, tels que”visioconférence zoom“Les utilisateurs qui ont recherché ces termes sur Google pendant un certain temps ont vu une publicité qui les a conduits vers des domaines malveillants”, explique Microsoft.

ZLoader a également été distribué via des e-mails malveillants. Le groupe utilisait souvent des pièces jointes Microsoft Office et abusait de macros pour infecter les machines. Les messages utilisés pour inciter les victimes à ouvrir un document et à activer des macros comprenaient des alertes COVID-19, des retards de paiement de factures et de faux CV.

Mais ce n’est probablement pas encore la fin de l’histoire. « Notre action vise à démanteler l’infrastructure de ZLoader et à rendre difficile la poursuite des activités de ce gang criminel organisé. Nous nous attendons à ce que les accusés fassent des efforts pour redémarrer les opérations de ZLoader”, a déclaré Microsoft.

La source : “ZDNet.com”

Leave a Comment