Une opération mondiale de plusieurs mois menée par la Digital Crimes Unit (DCU) de Microsoft a supprimé des dizaines de domaines utilisés comme serveurs de commande et de contrôle (C2) par le célèbre botnet ZLoader.
L’ordonnance du tribunal obtenue par Microsoft lui a permis de couler 65 domaines codés en dur utilisés par le gang de cybercriminalité ZLoader pour contrôler le botnet et 319 autres domaines enregistrés à l’aide de l’algorithme de génération de domaine utilisé pour créer des canaux de communication de secours et de secours.
« Au cours de notre enquête, nous avons identifié l’un des auteurs de la création d’un composant utilisé dans le botnet ZLoader pour distribuer un ransomware comme Denis Malikov, qui vit dans la ville de Simferopol sur la péninsule de Crimée », expliqué Amy Hogan-Burney, la directrice générale de la DCU.
« Nous avons choisi de nommer une personne en lien avec cette affaire pour préciser que les cybercriminels ne seront pas autorisés à se cacher derrière l’anonymat d’Internet pour commettre leurs crimes. »
Plusieurs fournisseurs de télécommunications et entreprises de cybersécurité du monde entier se sont associés aux chercheurs sur les menaces et la sécurité de Microsoft tout au long de l’enquête, notamment ESET, Black Lotus Labs (la branche de renseignement sur les menaces de Lumen), l’unité 42 de Palo Alto Networks et Avast.
Les centres de partage et d’analyse d’informations sur les services financiers (FS-ISAC) et le centre de partage et d’analyse d’informations sur la santé (H-ISAC) ont également fourni des données et des idées pour aider à renforcer le dossier juridique.
Zloader (alias Terdot et DELoader) est un cheval de Troie bancaire largement connu, repéré pour la première fois en août 2015 lors d’attaques contre les clients de plusieurs sociétés financières britanniques.
Comme Zeus Panda et Robot Flokice logiciel malveillant est presque entièrement basé sur le code source du cheval de Troie Zeus v2 fuite en ligne il y a plus d’une décennie.
Le logiciel malveillant a été utilisé pour banques cibles dans le monde entier, de l’Australie et du Brésil à l’Amérique du Nord, dans le but final de récolter des données financières via des injections Web qui utilisent l’ingénierie sociale pour inciter les clients infectés des banques à distribuer des codes d’authentification et des informations d’identification.
Zloader propose également des fonctionnalités de porte dérobée et d’accès à distance, et il peut être utilisé comme chargeur de logiciels malveillants pour déposer des charges utiles supplémentaires sur les appareils infectés.
Plus récemment, les opérateurs de plusieurs gangs de rançongiciels l’ont également utilisé pour déployer des charges utiles malveillantes telles que Ryûk et Égrégore.
Rapports de ESET et le Équipe Microsoft 365 Defender Threat Intelligence fournir des indicateurs de compromis et des informations supplémentaires sur les techniques de défense et les chaînes d’attaque de ZLoader.