Microsoft объявила в среду, что использовала постановление суда для закрытия криминального ботнета под названием ZLoader .
Технический гигант сообщил в своем блоге, что его подразделение по цифровым преступлениям получило судебное постановление от Окружного суда Соединенных Штатов по Северному округу Джорджии, которое позволило ему захватить более 65 доменов, используемых участниками ZLoader для запуска ботнета.
Microsoft заявила, что ботнет состоит из устройств в школах, больницах, на предприятиях и домах по всему миру. Банда, стоящая за ZLoader, использует его для управления «вредоносным ПО как сервисом, предназначенным для кражи и вымогательства денег».
«Теперь домены направляются в лазейку Microsoft, где они больше не могут использоваться преступными операторами ботнета. ZLoader содержит встроенный во вредоносное ПО алгоритм генерации доменов (DGA), который создает дополнительные домены в качестве резервного канала связи для ботнета», — пояснили в Microsoft.
«В дополнение к жестко запрограммированным доменам решение суда позволяет нам получить контроль над дополнительными 319 зарегистрированными в настоящее время доменами DGA. Мы также работаем над тем, чтобы заблокировать будущую регистрацию доменов DGA».
Microsoft удалось связать ботнет ZLoader с Денисом Маликовым, который, по их словам, живет в Симферополе на Крымском полуострове. Согласно их расследованию, Маликов создал компонент, используемый в ботнете ZLoader для распространения программ-вымогателей.
Microsoft работала над расследованием вместе с исследователями из ESET, Lumen’s Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Центров обмена и анализа информации финансовых услуг и Центра обмена и анализа медицинской информации.
Их анализ показал, что в дополнение к краже информации о банковских счетах, такой как идентификаторы входа и пароли, ZLoader мог отключить популярное защитное и антивирусное программное обеспечение, которое скрывало его на скомпрометированных устройствах.
Они отметили, что со временем ботнет превратился в платформу доставки вымогателя Ryuk.
Microsoft заявляет, что передала дело в правоохранительные органы, но отметила, что банда, стоящая за ботнетом, скорее всего, попытается его возродить.
ESET сообщила в своем собственном сообщении в блоге, что ZLoader является одним из многих семейств вредоносных программ банковских троянов, вдохновленных банковским трояном Zeus, исходный код которого утек в 2011 году.
ESET объяснила, что она видела «следы» кампании ZLoader в Северной Америке, Европе и Японии.
Перевод статьи «Microsoft uses court order to disrupt ZLoader botnet »
Zloader (он же Terdot или DELoader) — известный банковский троян, впервые обнаруженный еще в августе 2015 года во время атак на клиентов нескольких британских финансовых компаний. Его возможности включают захват снимков экрана, сбор файлов cookie, кражу учетных и банковских данных, проведение разведки на устройстве, запуск механизмов «закрепления» на устройстве, предоставление злоумышленникам удаленного доступа и так далее.