Publié le 13/04/2022 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Le 13 avril 2022 - ESET a collaboré avec Microsoft’s Digital Crimes Unit, les laboratoires Black Lotus de Lumen, l'unité 42 de Palo Alto Networks et d'autres partenaires pour perturber les botnets Zloader connus. Zloader a débuté comme un cheval de Troie bancaire, mais a récemment évolué pour devenir un distributeur de plusieurs familles de maliciels comprenant diverses familles de rançongiciels.
L'opération de perturbation coordonnée ciblait trois botnets spécifiques, utilisant chacun une version différente du malware Zloader. Les chercheurs d'ESET ont aidé à identifier 65 domaines récemment utilisés par ces opérateurs de botnet et qui avaient été repris afin que cette opération de perturbation soit efficace. De plus, les bots Zloader s'appuient sur un canal de communication de backup qui génère automatiquement des noms de domaine uniques pouvant être utilisés pour recevoir des commandes de leurs botmasters. Cette technique, du nom d'algorithme de génération de domaine (DGA - domain generation algorithm), est utilisée pour générer, par jour et par botnet, 32 domaines différents. Pour s'assurer que les opérateurs de botnet ne peuvent pas utiliser ce canal pour reprendre le contrôle de leurs botnets, 319 domaines supplémentaires déjà enregistrés et générés par cet algorithme ont été repris. Le groupe de travail prend également des mesures pour bloquer l'enregistrement des domaines DGA qui seraient générés à l'avenir. Lors de l’enquête, Microsoft a identifié Denis Malikov comme l'auteur d'un composant utilisé dans les botnets pour distribuer des rançongiciels.
Background
Zloader est une des nombreuses familles de chevaux de Troie bancaires fortement inspirées du célèbre cheval de Troie bancaire Zeus, dont le code source a été publié en 2011. De nombreux résultats de recherche ont déjà été publiés sur ce maliciel. Le dernier en date, de Malwarebytes and HYAS ,est le plus détaillé du point de vue technique.
La première version de Zloader (1.0.0.0) qu’ESET a trouvé a été compilée le 9 novembre 2019, le jour même où elle a été annoncée et promues sous le nom de "Silent Night" dans des forums underground. Depuis lors, les chercheurs d'ESET surveillent de près son activité et son évolution, ce qui donne en un excellent aperçu de son mode de fonctionnement et de son infrastructure.
Tout au long de l'existence de Zloader, ESET a analysé environ 14 000 échantillons uniques via son système de suivi automatique, ce qui a permis de découvrir plus de 1 300 serveurs C&C uniques. En mars 2020, Zloader a mis en place un algorithme de génération de domaine (DGA) qui a permis de découvrir environ 300 domaines actifs supplémentaires enregistrés par les opérateurs Zloader et utilisés comme serveurs C&C.
ESET a constaté quelques pics de popularité de Zloader parmi les acteurs de la menace, principalement lors de sa première année d'existence, mais son utilisation a commencé à décliner en 2021 avec seulement quelques acteurs l'utilisant à des fins malveillantes.
Zloader, comme d'autres logiciels malveillants de base, est annoncé et vendu sur des forums clandestins. Lors de l'achat, les ‘affiliés’ reçoivent tout ce dont ils ont besoin pour configurer leurs propres serveurs avec des écrans d'administration pour commencer à construire leurs bots. Ils deviennent alors responsables de la distribution des bots et de la maintenance de leurs botnets.
Pour plus d'informations, consultez le blog https://www.welivesecurity.com/2022/04/13/eset-takes-part-global-operation-disrupt-zloader-botnets/ . Pour les dernières nouvelles d'ESET Research suivez le sur Twitter.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .
L'opération de perturbation coordonnée ciblait trois botnets spécifiques, utilisant chacun une version différente du malware Zloader. Les chercheurs d'ESET ont aidé à identifier 65 domaines récemment utilisés par ces opérateurs de botnet et qui avaient été repris afin que cette opération de perturbation soit efficace. De plus, les bots Zloader s'appuient sur un canal de communication de backup qui génère automatiquement des noms de domaine uniques pouvant être utilisés pour recevoir des commandes de leurs botmasters. Cette technique, du nom d'algorithme de génération de domaine (DGA - domain generation algorithm), est utilisée pour générer, par jour et par botnet, 32 domaines différents. Pour s'assurer que les opérateurs de botnet ne peuvent pas utiliser ce canal pour reprendre le contrôle de leurs botnets, 319 domaines supplémentaires déjà enregistrés et générés par cet algorithme ont été repris. Le groupe de travail prend également des mesures pour bloquer l'enregistrement des domaines DGA qui seraient générés à l'avenir. Lors de l’enquête, Microsoft a identifié Denis Malikov comme l'auteur d'un composant utilisé dans les botnets pour distribuer des rançongiciels.
Background
Zloader est une des nombreuses familles de chevaux de Troie bancaires fortement inspirées du célèbre cheval de Troie bancaire Zeus, dont le code source a été publié en 2011. De nombreux résultats de recherche ont déjà été publiés sur ce maliciel. Le dernier en date, de Malwarebytes and HYAS ,est le plus détaillé du point de vue technique.
La première version de Zloader (1.0.0.0) qu’ESET a trouvé a été compilée le 9 novembre 2019, le jour même où elle a été annoncée et promues sous le nom de "Silent Night" dans des forums underground. Depuis lors, les chercheurs d'ESET surveillent de près son activité et son évolution, ce qui donne en un excellent aperçu de son mode de fonctionnement et de son infrastructure.
Tout au long de l'existence de Zloader, ESET a analysé environ 14 000 échantillons uniques via son système de suivi automatique, ce qui a permis de découvrir plus de 1 300 serveurs C&C uniques. En mars 2020, Zloader a mis en place un algorithme de génération de domaine (DGA) qui a permis de découvrir environ 300 domaines actifs supplémentaires enregistrés par les opérateurs Zloader et utilisés comme serveurs C&C.
ESET a constaté quelques pics de popularité de Zloader parmi les acteurs de la menace, principalement lors de sa première année d'existence, mais son utilisation a commencé à décliner en 2021 avec seulement quelques acteurs l'utilisant à des fins malveillantes.
Zloader, comme d'autres logiciels malveillants de base, est annoncé et vendu sur des forums clandestins. Lors de l'achat, les ‘affiliés’ reçoivent tout ce dont ils ont besoin pour configurer leurs propres serveurs avec des écrans d'administration pour commencer à construire leurs bots. Ils deviennent alors responsables de la distribution des bots et de la maintenance de leurs botnets.
Pour plus d'informations, consultez le blog https://www.welivesecurity.com/2022/04/13/eset-takes-part-global-operation-disrupt-zloader-botnets/ . Pour les dernières nouvelles d'ESET Research suivez le sur Twitter.
A propos d’ESET
Depuis plus de 30 ans, ESET®développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez www.eset.com , ou suivez nous sur LinkedIn, Facebook, Twitter et https://www.eset.com/be-fr/ .