Microsoft smantella la botnet ZLoader
Topic
Approfondimenti
Trending
tutti

Microsoft smantella la botnet ZLoader

Microsoft ha smantellato la botnet ZLoader prendendo il controllo di 384 domini che venivano usati per il controllo remoto e la distribuzione di malware.
Microsoft smantella la botnet ZLoader
Sicurezza Antivirus
Microsoft ha smantellato la botnet ZLoader prendendo il controllo di 384 domini che venivano usati per il controllo remoto e la distribuzione di malware.
Pixabay

Microsoft ha annunciato di aver smantellato l’infrastruttura della botnet ZLoader con la collaborazione di ESET, Black Lotus Labs, Palo Alto Networks, Avast e vari ISP. Dopo aver ricevuto l’autorizzazione del giudice, l’azienda di Redmond ha preso il controllo di 65 domini usati dai cybercriminali per controllare la botnet. È stato anche identificato uno dei membri della gang.

ZLoader: da trojan bancario a distributore di ransomware

ZLoader è nato come trojan bancario, quindi lo scopo dei cybercriminali è rubare le credenziali di accesso ai conti bancari. Nel corso degli anni ha ricevuto vari aggiornamenti, quindi oggi è un malware più evoluto che può installare backdoor e distribuire ransomware. Per questo motivo viene offerto come “malware-as-a-service” e sfruttato per la creazione di botnet. Microsoft e i suoi partner hanno smantellato tre botnet, ognuna delle quali usava una diversa versione di ZLoader.

Per evitare di essere bloccato, il malware può generare automaticamente i domini. Oltre ai 65 domini, l’azienda di Redmond ha individuato altri 319 domini DGA (domain generation algorithm) e cercherà di bloccare la registrazione di futuri domini. In precedenza ZLoader veniva distribuito tramite documenti Office con macro allegati alle email o link inseriti nei messaggi. Più recentemente ha utilizzato inserzioni pubblicitarie nei motori di ricerca per convincere gli utenti a visitare siti infetti.

Heat map ZLoader

ZLoader sfrutta diverse tecniche di evasione per evitare la rilevazione, come la firma dei file e la disattivazione degli antivirus. La persistenza viene invece ottenuta aggiungendo la chiave di registro corrispondente all’esecuzione automatica ad ogni avvio di Windows. ZLoader inizia quindi a rubare i dati sul computer e si connette ai server remoti per scaricare altri malware.

Microsoft ha scoperto l’identità di uno dei cybercriminali durante le indagini. Si tratta di Denis Malikov, residente a Sinferopoli, considerato l’autore di un componente di ZLoader che permette la distribuzione di ransomware.

Fonte: Microsoft

Pubblicato il 14 apr 2022

Link copiato negli appunti

Ti potrebbe interessare

Zloader usa un certificato digitale di Microsoft

Zloader usa un certificato digitale di Microsoft
Industroyer2: tentativo di blackout in Ucraina

Industroyer2: tentativo di blackout in Ucraina
Ucraina, Microsoft abbatte gli Strontium

Ucraina, Microsoft abbatte gli Strontium
Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)

Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)
Zloader usa un certificato digitale di Microsoft

Zloader usa un certificato digitale di Microsoft
Industroyer2: tentativo di blackout in Ucraina

Industroyer2: tentativo di blackout in Ucraina
Ucraina, Microsoft abbatte gli Strontium

Ucraina, Microsoft abbatte gli Strontium
Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)

Panda Dome Complete 2024: la soluzione DEFINITIVA (-44%)
Luca Colantuoni
Pubblicato il
14 apr 2022
Link copiato negli appunti