El troyano ZLoader deshabilita herramientas de seguridad y antivirus
Microsoft y un consorcio de empresas de ciberseguridad tomaron medidas legales y técnicas para interrumpir la red de bots ZLoader y tomaron el control de 65 dominios que se usaban para controlar y comunicarse con los hosts infectados.
"ZLoader está compuesta por dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo y está dirigida por una banda mundial del crimen organizado basada en Internet que opera malware como un servicio diseñado para robar y extorsionar dinero", dijo Amy Hogan- Burney, gerente general de la Unidad de Delitos Digitales (DCU) de Microsoft.
La operación, dijo Microsoft, se llevó a cabo en colaboración con ESET, Lumen's Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) y Health Information Sharing and Analysis Center (H-ISAC).
Como resultado de la interrupción, los dominios se redirigen ahora a un sumidero, lo que evita que los operadores criminales de la botnet se comuniquen con los dispositivos comprometidos. Como parte de la misma operación también se confiscaron otros 319 dominios de respaldo que se generaron a través de un algoritmo de generación de dominio integrado (DGA).
ZLoader, al igual que su notoria contraparte TrickBot, comenzó como un derivado del troyano bancario Zeus en noviembre de 2019 antes de someterse a mejoras y actualizaciones activas que han permitido a otros actores de amenazas comprar el malware de foros clandestinos y reutilizarlo para cumplir sus objetivos.
"ZLoader se ha mantenido relevante como la herramienta elegida por los atacantes al incluir capacidades de evasión de defensa, como deshabilitar herramientas de seguridad y antivirus, y vender acceso como servicio a otros grupos afiliados, como operadores de ransomware", dijo Microsoft.
"Sus capacidades incluyen tomar capturas de pantalla, recopilar cookies, robar credenciales y datos bancarios, realizar reconocimientos, lanzar mecanismos de persistencia, hacer mal uso de herramientas de seguridad legítimas y proporcionar acceso remoto a los atacantes".
La transición de ZLoader de un troyano financiero básico a una sofisticada solución de malware como servicio (MaaS) también ha hecho posible que los operadores moneticen los compromisos al vender el acceso a otros actores afiliados, quienes luego lo usan indebidamente para implementar cargas útiles adicionales como Cobalt Strike y ransomware.
Las campañas que involucran a ZLoader han abusado de los correos electrónicos de phishing, el software de administración remota y los anuncios falsos de Google para obtener acceso inicial a las máquinas de destino, al mismo tiempo que utilizan varias tácticas complejas para evadir la defensa, incluida la inyección de código malicioso en procesos legítimos.
Curiosamente, un análisis de las actividades maliciosas del malware desde febrero de 2020 reveló que la mayoría de las operaciones se originaron en solo dos afiliados desde octubre de 2020: "dh8f3[ @ ]3hdf#hsf23" y "03d5ae30a0bd934a23b6a7f0756aa504".
Mientras que el primero usó "la capacidad de ZLoader para implementar cargas arbitrarias para distribuir cargas maliciosas a sus bots", el otro afiliado, activo hasta la fecha, parece haberse centrado en desviar credenciales de bancos, plataformas de criptomonedas y sitios de comercio electrónico, dijo la firma de ciberseguridad eslovaca ESET.
Para colmo, Microsoft también desenmascaró a Denis Malikov, que vive en la ciudad de Simferopol en la península de Crimea, como uno de los actores detrás del desarrollo de un módulo utilizado por la botnet para distribuir cepas de ransomware, afirmando que eligió nombrar al perpetrador para "dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus delitos".
El esfuerzo de eliminación recuerda una operación global para interrumpir la notoria botnet TrickBot en octubre de 2020. Aunque la botnet logró recuperarse el año pasado, los autores del malware la han retirado desde entonces en favor de otras variantes sigilosas como BazarBackdoor.
“Al igual que muchas variantes modernas de malware, poner ZLoader en un dispositivo a menudo es solo el primer paso en lo que termina siendo un ataque más grande”, dijo Microsoft. "El troyano ejemplifica aún más la tendencia del malware común que cada vez alberga amenazas más peligrosas".
