0
0
Pesquisadores da Microsoft e vários fornecedores de segurança afundaram 65 domínios associados à prolífica botnet de distribuição de malware Zloader.
Outros 319 domínios de backup que o Zloader gerou através de um algoritmo de geração de domínio incorporado (DGA) foram apreendidos como parte da mesma operação, que incluiu ESET, Palo Alto Networks e Black Lotus Labs.
O objetivo é desativar a infraestrutura que a gangue criminosa por trás da botnet Zloader tem usado como parte de sua operação de distribuição de malware como serviço, diz Amy Hogan-Burney, gerente geral da unidade de crimes digitais da Microsoft. É provável que os operadores da botnet tentem reviver as operações, diz Hogan-Burney, para que a Microsoft e as outras entidades envolvidas na derrubada continuem a trabalhar entre si e com os provedores de serviços de Internet para monitorar e identificar qualquer outra atividade do grupo.
Zloader apareceu pela primeira vez nos radares dos fornecedores de segurança em novembro de 2019, quando o malware bancário modelou nos moldes do notório Trojan bancário Zeus. O malware — que era vendido em fóruns subterrâneos sob o nome “Noite Silenciosa” — foi projetado para roubar dados associados a contas bancárias online, como IDs de login da conta e senhas.
A ESET disse que seus pesquisadores observaram grupos criminosos usando diferentes maneiras de distribuir zloader, incluindo através de kits de exploração como RIG, e-mails de phishing temáticos COVID-19, sites adultos e uso indevido de Anúncios do Google. O malware foi projetado para tomar uma variedade de ações maliciosas uma vez instaladas em um sistema. Isso inclui roubar dados de navegadores, roubar carteiras de criptomoedas, registrar teclas, permitir o controle remoto e suportar a execução arbitrária de comando, disse a ESET.
Um recurso do malware – sua capacidade de perfilar a rede e o host comprometido – permitiu que os atores de ameaças distribuíssem diferentes cargas maliciosas para sistemas infectados. Recentemente, isso incluiu várias famílias de ransomware, como DarkSide e Ryuk, ambas associadas a inúmeros ataques de alto perfil nos últimos dois anos ou mais.
A unidade de crimes digitais da Microsoft liderou o esforço para derrubar a infraestrutura Zloader. A empresa obteve uma ordem judicial do Tribunal Distrital dos EUA para o Distrito Norte da Geórgia que permitiu aos pesquisadores de segurança da Microsoft assumir o controle de 65 domínios associados ao Zloader e direcionar o tráfego para esses sites para um buraco da Microsoft.
Operações de interrupção como esta exigem muita coordenação, compartilhamento de informações e validação entre parceiros, diz Alexis Dorais-Joncas, chefe da equipe de inteligência de segurança da ESET. “Desafios técnicos à parte, juntar-se a um grupo para cooperar em uma operação de interrupção envolve uma quantidade significativa de confiança”, diz ele.
Para ter sucesso, as empresas parceiras entre si em tais esforços precisam estar dispostas a compartilhar informações livremente com as outras. “Temos que saber que podemos confiar em cada parceiro para fazer a coisa certa e não usar indevidamente qualquer informação ao longo do caminho para seu próprio benefício”, diz Dorais-Joncas.
No lado operacional, o desafio com plataformas como o Zloader é que eles permitem que as afiliadas criem sua própria botnet independente. Assim, interrompê-lo significa ser capaz de mapear todas as botnets ativas associadas ao malware, identificar a infraestrutura por trás de cada uma dessas botnets e monitorar simultaneamente o aparecimento de novas botnets.
Para fazer isso, a ESET usou sua tecnologia de segurança de ponto final para agrupar automaticamente novas amostras de Zloader e extrair informações de comando e controle delas para permitir uma visão em tempo real de todas as botnets Zloader ativas e infraestrutura de rede associada.
Os dados da ESET foram mesclados com dados dos outros fornecedores envolvidos na operação de retirada do Zloader para que o grupo pudesse compilar uma lista abrangente de todos os domínios maliciosos e endereços IP usados para controlar botnets baseadas em Zloader, diz Dorais-Joncas. “Temos sorte de ter um ótimo relacionamento com a Unidade de Crimes Digitais da Microsoft e com os outros parceiros envolvidos nesse esforço”, diz ele. “[Nós] continuaremos a colaborar conforme necessário para nos defendermos de um cenário de ameaça em expansão.”
Quão impactantes são essas quedas?
A operação botnet Zloader é uma das muitas nos últimos anos em que os fornecedores de segurança fizeram parcerias com os outros para derrubar uma operação de ameaça particularmente perigosa. Em muitos casos, as derrubadas tiveram um impacto imediato na atividade-alvo, mas não conseguiram pará-la completamente — Trickbot é um exemplo especialmente notável.
Davis McCarthy, principal pesquisador de segurança da Valtix, diz que um problema é que alguns operadores de ameaças criam várias versões de uma botnet para melhorar sua resiliência contra a derrubada.
A derrubada do Zloader, por exemplo, envolveu três botnets separados, cada uma das quais foi configurada usando uma versão diferente do malware. Tecnologias como a DGA também permitiram que atores de ameaças desenvolvessem malware capaz de gerar automaticamente vários domínios de backup no caso de seus domínios primários ficarem indisponíveis. O DGA do Zloader permitiu que o malware gerasse 32 novos domínios por dia por botnet.
“As operações de derrubada exigem a coordenação de várias partes interessadas — agravadas por diferentes leis e relacionamentos. Essa coordenação pode ser lenta”, diz McCarthy.
FONTE: DARK READING