Эксперты осуществили синкхолинг 65 доменов, с помощью которых управлялся ботнет, и 319 доменов, использовавшихся как резервные каналы связи.
https://www.securitylab.ru/upload/ib...fa5499a255.jpg
В рамках глобальной операции подразделению по борьбе с цифровой преступностью Digital Crimes Unit (DCU) компании Microsoft удалось отключить десятки доменов, использовавшихся в качестве C&C-серверов известным ботнетом ZLoader.
Благодаря судебному ордеру специалисты Microsoft осуществили синкхолинг 65 вшитых доменов, с помощью которых операторы ZLoader управляли своим ботнетом, а также 319 доменов, зарегистрированных с помощью алгоритма генерирования доменов и использовавшихся в качестве резервных каналов связи.
«В ходе расследования мы установили, что одним из разработчиков компонента, использовавшегося ZLoader для распространения вымогательского ПО, является Денис Маликов, проживающий в Симферополе на Крымском полуострове. Мы решили сообщить имя человека, связанного с этим делом, с целью дать киберпреступникам понять, что они не смогут прятаться за анонимностью в интернете для осуществления преступлений», - сообщила главный директор DCU Эми Хоган-Берни (Amy Hogan-Burney).
В расследовании Microsoft также принимали участие операторы связи и ИБ-компании, в том числе ESET, Lumen Black Lotus Labs, Palo Alto Networks Unit 42 и Avast.
Zloader (другие названия Terdot и DELoader) представляет собой хорошо известный банковский троян, впервые обнаруженный в августе 2015 года, когда он использовался в атаках на ряд клиентов британских финансовых компаний.
Вредонос способен делать скриншоты, собирать файлы cookie, похищать учетные данные и банковскую информацию, запускать механизм персистентности, использовать легитимные инструменты безопасности и обеспечивать злоумышленникам удаленный доступ к зараженной системе.
Подобно вредоносному ПО Zeus Panda и Floki Bot, Zloader почти полностью базируется на исходном коде трояна Zeus v2, утекшем в Сеть более десяти лет назад.
Вредонос использовался в атаках на банки по всему миру, от Австралии и Бразилии до Северной Америки. Злоумышленники собирали финансовые данные с помощью web-инъекций, выманивая у клиентов зараженных банков их коды авторизации и учетные данные с помощью социальной инженерии.
Zloader также оснащен функциями бэкдора и удаленного доступа и может использоваться в качестве загрузчика дополнительного вредоносного ПО.
В последнее время трояном активно пользовались различные кибервымогательские группировки, в частности Ryuk, Egregor, DarkSide и BlackMatter.