Microsoft ha annunciato di aver smantellato l’infrastruttura della botnet ZLoader con la collaborazione di ESET, Black Lotus Labs, Palo Alto Networks, Avast e vari ISP. Dopo aver ricevuto l’autorizzazione del giudice, l’azienda di Redmond ha preso il controllo di 65 domini usati dai cybercriminali per controllare la botnet. È stato anche identificato uno dei membri della gang.
ZLoader: da trojan bancario a distributore di ransomware
ZLoader è nato come trojan bancario, quindi lo scopo dei cybercriminali è rubare le credenziali di accesso ai conti bancari. Nel corso degli anni ha ricevuto vari aggiornamenti, quindi oggi è un malware più evoluto che può installare backdoor e distribuire ransomware. Per questo motivo viene offerto come “malware-as-a-service” e sfruttato per la creazione di botnet. Microsoft e i suoi partner hanno smantellato tre botnet, ognuna delle quali usava una diversa versione di ZLoader.
Per evitare di essere bloccato, il malware può generare automaticamente i domini. Oltre ai 65 domini, l’azienda di Redmond ha individuato altri 319 domini DGA (domain generation algorithm) e cercherà di bloccare la registrazione di futuri domini. In precedenza ZLoader veniva distribuito tramite documenti Office con macro allegati alle email o link inseriti nei messaggi. Più recentemente ha utilizzato inserzioni pubblicitarie nei motori di ricerca per convincere gli utenti a visitare siti infetti.
ZLoader sfrutta diverse tecniche di evasione per evitare la rilevazione, come la firma dei file e la disattivazione degli antivirus. La persistenza viene invece ottenuta aggiungendo la chiave di registro corrispondente all’esecuzione automatica ad ogni avvio di Windows. ZLoader inizia quindi a rubare i dati sul computer e si connette ai server remoti per scaricare altri malware.
Microsoft ha scoperto l’identità di uno dei cybercriminali durante le indagini. Si tratta di Denis Malikov, residente a Sinferopoli, considerato l’autore di un componente di ZLoader che permette la distribuzione di ransomware.