ESET Research
a fourni des analyses techniques, des informations statistiques et des noms de
domaine et des adresses IP de serveurs de commande et de contrôle connus.
ESET a collaboré avec Microsoft’s Digital Crimes Unit, les laboratoires Black Lotus de Lumen,
l'unité 42 de Palo Alto Networks et d'autres partenaires pour perturber les
botnets Zloader connus. Zloader a débuté comme un cheval de Troie bancaire,
mais a récemment évolué pour devenir un distributeur de plusieurs familles de maliciels
comprenant diverses familles de rançongiciels.
L'opération de
perturbation coordonnée ciblait trois botnets spécifiques, utilisant chacun une
version différente du malware Zloader. Les chercheurs d'ESET ont aidé à
identifier 65 domaines récemment utilisés par ces opérateurs de botnet et qui
avaient été repris afin que cette opération de perturbation soit efficace. De
plus, les bots Zloader s'appuient sur un canal de communication de backup qui
génère automatiquement des noms de domaine uniques pouvant être utilisés pour
recevoir des commandes de leurs botmasters. Cette technique, du nom
d'algorithme de génération de domaine (DGA - domain generation algorithm), est
utilisée pour générer, par jour et par botnet, 32 domaines différents. Pour
s'assurer que les opérateurs de botnet ne peuvent pas utiliser ce canal pour
reprendre le contrôle de leurs botnets, 319 domaines supplémentaires déjà
enregistrés et générés par cet algorithme ont été repris. Le groupe de travail
prend également des mesures pour bloquer l'enregistrement des domaines DGA qui
seraient générés à l'avenir. Lors de l’enquête, Microsoft a identifié Denis
Malikov comme l'auteur d'un composant utilisé dans les botnets pour distribuer
des rançongiciels.
Background
Zloader est une
des nombreuses familles de chevaux de Troie bancaires fortement inspirées du
célèbre cheval de Troie bancaire Zeus, dont le code source a été publié en
2011. De nombreux résultats de recherche ont déjà été publiés sur ce maliciel.
Le dernier en date, de Malwarebytes and HYAS ,est le plus détaillé du point de vue
technique.
La première
version de Zloader (1.0.0.0) qu’ESET a trouvé a été compilée le 9 novembre
2019, le jour même où elle a été annoncée et promues sous le nom de "Silent
Night" dans des forums underground. Depuis lors, les chercheurs d'ESET
surveillent de près son activité et son évolution, ce qui donne en un excellent
aperçu de son mode de fonctionnement et de son infrastructure.
Tout au long de
l'existence de Zloader, ESET a analysé environ 14 000 échantillons uniques via son
système de suivi automatique, ce qui a permis de découvrir plus de 1 300
serveurs C&C uniques. En mars 2020, Zloader a mis en place un algorithme de
génération de domaine (DGA) qui a permis de découvrir environ 300 domaines
actifs supplémentaires enregistrés par les opérateurs Zloader et utilisés comme
serveurs C&C.
ESET a constaté quelques
pics de popularité de Zloader parmi les acteurs de la menace, principalement lors
de sa première année d'existence, mais son utilisation a commencé à décliner en
2021 avec seulement quelques acteurs l'utilisant à des fins malveillantes.
Zloader, comme d'autres logiciels malveillants
de base, est annoncé et vendu sur des forums clandestins. Lors de l'achat, les ‘affiliés’
reçoivent tout ce dont ils ont besoin pour configurer leurs propres serveurs
avec des écrans d'administration pour commencer à construire leurs bots. Ils
deviennent alors responsables de la distribution des bots et de la maintenance
de leurs botnets.
Pour plus
d'informations, consultez le blog https://www.welivesecurity.com/2022/04/13/eset-takes-part-global-operation-disrupt-zloader-botnets/ . Pour les dernières nouvelles d'ESET
Research suivez le sur Twitter.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des
logiciels et des services de sécurité informatique de pointe pour protéger les
entreprises, les infrastructures critiques et les consommateurs du monde entier
contre les menaces numériques toujours plus sophistiquées. De la sécurité des
terminaux et des mobiles à l'EDR en passant par le chiffrement,
l'authentification à double facteur, les solutions légères et performantes
d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les
défenses afin d’assurer sans interruption la sécurité des utilisateurs et des
entreprises. L'évolution constante des menaces nécessite un fournisseur de
sécurité informatique évolutif qui permet d’utiliser la technologie de façon
sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier,
travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez
nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .