0
0
Trojan foi gerado a partir de outro cavalo de Troia bancário chamado Zeus, mas evoluiu para uma botnet capaz de comprometer dispositivos
A Microsoft divulgou na semana passada como uma operação coordenada ajudou a interromper um trojan usado amplamente em todo o mundo para facilitar a disseminação de ransomware e outros ataques.
Conhecido como ZLoader, o trojan foi gerado a partir de outro cavalo de Troia bancário chamado Zeus, mas, como os malware da mesma categoria TrickBot e Emotet, passou por um desenvolvimento significativo ao longo dos anos, adicionando novas funcionalidades.
Como tal, logo evoluiu de um trojan bancário para uma botnet capaz de comprometer dispositivos, que seus desenvolvedores venderam como um serviço para outros operadores de ameaças que o usaram para baixar cargas adicionais. Ele foi vinculado a campanhas de ransomware de alto perfil, incluindo o Ryuk, DarkSide e BlackMatter no passado.
Após obter uma ordem judicial, a Unidade de Crimes Digitais (DCU) da Microsoft assumiu o controle de 65 domínios de comando e controle (C&C) usados pela gangue do ZLoader. “Os domínios agora são direcionados para um ‘sumidouro’ da Microsoft, onde não podem mais ser usados pelos criminosos”, diz a fabricante de software.
Segundo a Microsoft, o Zloader contém um algoritmo de geração de domínio (DGA, na sigla em inglês) embutido no malware que cria domínios adicionais como um canal de comunicação de fallback ou backup para a botnet. “Além dos domínios codificados, a ordem judicial nos permite assumir o controle de mais 319 domínios DGA atualmente registrados. Também estamos trabalhando para bloquear o registro futuro de domínios DGA”, disse a empresa no comunicado.
No entanto, a Microsoft admitiu que os operadores por trás do ZLoader tentariam reviver a botnet, então este é mais um revés temporário, de maneira semelhante à sua ação contra o grupo patrocinado pelo russo APT28, que interrompeu a operação do Cyclops Blink na semana passada.
Na verdade, o ZLoader é conhecido por sua resiliência e persistência. Ele usa arquivos maliciosos assinados para fazê-los parecer legítimos e funciona para desabilitar as ferramentas de segurança em execução na máquina da vítima.
Para realizar a operação, a Microsoft trabalhou com outros players do setor, incluindo Lumen, Palo Alto Networks, ESET e Avast, além de organizações globais não governamentais, o Financial Services Information Sharing and Analysis Center (FS-ISAC) e o Health Information Sharing and Analysis Center (H-ISAC).
FONTE: CISO ADVISOR