ESET werkte samen met partners Microsoft’s Digital Crimes Unit, Lumen’s Black Lotus Labs, Palo Alto Networks Unit 42, en anderen in een poging om bekende Zloader-botnets te ontwrichten. Het bedrijf heeft aan het project bijgedragen door technische analyse, statistische informatie en bekende command-and-control serverdomeinnamen en IP-adressen te leveren.

Zloader begon als een banking trojan, maar is de laatste tijd uitgegroeid tot een verspreider van meerdere malwarefamilies, waaronder verschillende ransomware-families.

De gecoördineerde verstoringsoperatie was gericht op drie specifieke botnets, die elk een andere versie van de Zloader-malware gebruikten. ESET-onderzoekers hielpen bij het identificeren van 65 domeinen die recentelijk door deze botnet-operatoren gebruikt en overgenomen waren om deze verstoring effectief te maken. Bovendien steunen Zloader-bots op een back-upcommunicatiekanaal dat automatisch unieke domeinnamen genereert die kunnen gebruikt worden om opdrachten van hun botmasters te ontvangen. Deze techniek, de zogenaamde Domain Generation Algoritme (DGA), wordt gebruikt om per dag, per botnet, 32 verschillende domeinen te genereren.

Om zeker te zijn dat de botnetoperatoren dit zijkanaal niet kunnen gebruiken om de controle over hun botnets terug te krijgen, zijn 319 nu al geregistreerde domeinen door dit algoritme gegenereerd, overgenomen en neemt de werkgroep ook maatregelen om de registratie van mogelijk in de toekomst gegenereerde DGA-domeinen te blokkeren. Het onderzoek van Microsoft identificeerde ook Denis Malikov als de auteur van een onderdeel dat in de botnets wordt gebruikt om ransomware te verspreiden.

Background

Zloader is een van de vele malwarefamilies voor banking trojans die geïnspireerd zijn door de beroemde banking trojan Zeus, waarvan de broncode in 2011 werd gelekt. Er zijn al veel papers over deze malware gepubliceerd. De nieuwste en meest gedetailleerde vanuit technisch oogpunt is die van Malwarebytes and HYAS.

De eerste versie (1.0.0.0) van Zloader die ESET kon vinden, werd gecompileerd op 9 november 2019, dezelfde dag dat deze werd aangekondigd en geadverteerd in ondergrondse forums onder de naam “Silent Night”. ESET Research hebben de activiteit en evolutie sindsdien nauwlettend gevolgd, wat een goed inzicht gaf in de werkingsmodus en de infrastructuur van Zloader.

Tijdens het bestaan van Zloader heeft ESET ongeveer 14.000 unieke stalen geanalyseerd via zijn automatische trackingsysteem. Dat hielp om meer dan 1.300 unieke C&C-servers te ontdekken. In maart 2020 implementeerde Zloader een algoritme voor het genereren van domeinen (DGA) waarmee ESET ongeveer 300 extra actieve domeinen kon ontdekken, geregistreerd door Zloader-operators en gebruikt als C&C-servers.

ESET stelde een aantal pieken vast in de populariteit van Zloader onder bedreigingsactoren, vooral tijdens het zijn eerste bestaansjaar, maar het gebruik begon in 2021 af te nemen en er waren slechts  nog een paar actoren die het met kwade bedoelingen gebruikten. Dit kan in de toekomst veranderen, daar de onderzoekers versie 2.0-samples al in the wild hebben gezien (in juli 2021 verzameld). ESET’s bevindingen tonen aan dat het slechts om testversies ging, maar deze nieuwe activiteit en hun evolutie worden nauwlettend gevolgd.

Zloader wordt, net als andere standaardmalware, geadverteerd en verkocht op ondergrondse forums. Bij aankoop krijgen de ‘leden’ alles wat ze nodig hebben om hun eigen servers met administratiepanelen op te zetten en met het bouwen van hun bots te starten. ‘Leden’ zijn dan verantwoordelijk voor de distributie van hun bots en het onderhoud van hun botnets.

Voor meer technische info, lees de blog https://www.welivesecurity.com/2022/04/13/eset-takes-part-global-operation-disrupt-zloader-botnets/. Volg ook ESET Research op Twitter voor het laatste nieuws van ESET Research.

Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.