Microsoft poursuit ses offensives contre les botnets et s’attaque à ZLoader

by admin
Microsoft poursuit ses offensives contre les botnets et s'attaque à ZLoader

Microsoft a mené une nouvelle opération juridico-technique contre les cybercriminels, cette fois pour démanteler l’infrastructure du botnet ZLoader.

Le malware ZLoader a infecté des milliers d’organisations, principalement aux États-Unis, au Canada et en Inde, et est connu pour avoir distribué le ransomware Conti.

publicité

Microsoft a obtenu une ordonnance de la justice américaine qui lui a permis de saisir 65 domaines que le groupe ZLoader utilisait pour les serveurs de commande et de contrôle (C&C) de son botnet construit à partir de logiciels malveillants qui ont infecté des entreprises, des hôpitaux, des écoles et des appareils de particuliers.

Ces domaines sont désormais dirigés vers un “sinkhole” contrôlé par Microsoft, hors du contrôle du groupe ZLoader.

Microsoft a également pris le contrôle des domaines utilisés par ZLoader via son algorithme de génération de domaines (DGA), qui sert à créer automatiquement de nouveaux domaines pour le serveurs de contrôle du botnet.

“Zloader utilise un algorithme de génération de domaines (DGA) intégré au logiciel malveillant qui crée des domaines supplémentaires de repli ou de secours pour le botnet. En plus des domaines codés en dur, l’ordonnance du tribunal nous permet de prendre le contrôle de 319 autres domaines génerés par l’algorithme et enregistrés. Nous nous efforçons également de bloquer l’enregistrement futur de domaines DGA”, a déclaré Amy Hogan-Burney, directrice générale de la Digital Crimes Unit de Microsoft.

Microsoft a mené l’action contre ZLoader en partenariat avec des chercheurs d’ESET, de Lumen, de Black Lotus Labs et de Palo Alto Networks Unit 42. Avast a également participé à l’enquête européenne de Microsoft. Selon ESET, Zloader possédait environ 14 000 échantillons uniques et plus de 1 300 serveurs de contrôle uniques.

Microsoft reconnaît que ZLoader n’est pas complétement démantelé et travaille également avec les FAI pour identifier et remédier aux infections sur les systèmes infectés. L’entreprise a également transmis l’affaire aux forces de l’ordre.

En 2020, Microsoft a utilisé une approche similaire pour démanteler le botnet Trickbot.

Dans son analyse technique de ZLoader, Microsoft indique que le groupe a utilisé Google Ads pour distribuer le ransomware Ryuk, ce qui lui a permis de le faire apparaître dans le navigateur. Les publicités malveillantes et les e-mails étaient ses principaux mécanismes de diffusion. Chaque campagne se faisait passer pour des sociétés technologiques connues, notamment Java, Zoom, TeamViewer et Discord.

“Les acteurs achetaient des publicités Google pour des termes clés associés à ces produits, tels que “zoom videoconference“. Les utilisateurs qui effectuaient des recherches sur Google pour ces termes pendant une période donnée voyaient apparaître une publicité qui les menait à des domaines malveillants “, explique Microsoft.

ZLoader était également diffusé par des mails malveillants., Le groupe utilisait souvent des pièces jointes Microsoft Office et abusait des macros pour infecter les machines. Les messages utilisés pour inciter les victimes à ouvrir un document et à activer les macros comprenaient des alertes sur le COVID-19, des paiements de factures en retard et des faux CV.

Mais ce n’est probablement pas encore la fin de l’histoire. “Notre action vise à mettre hors service l’infrastructure de ZLoader et à rendre plus difficile la poursuite des activités de cette bande criminelle organisée. Nous attendons des accusés qu’ils fassent des efforts pour relancer les opérations de ZLoader”, a déclaré Microsoft.

Source : “ZDNet.com”

Leave a Reply

Related Posts

You May Missed

Discover more from Ultimatepocket

Subscribe now to keep reading and get access to the full archive.

Continue reading