Microsoft отключила десятки доменов, использовавшихся трояном ZLoader

В рамках глобальной операции подразделению по борьбе с цифровой преступностью Digital Crimes Unit (DCU) компании Microsoft удалось отключить десятки доменов, использовавшихся в качестве C&C-серверов известным ботнетом ZLoader, пишет SecurityLab.

Благодаря судебному ордеру специалисты Microsoft осуществили синкхолинг 65 вшитых доменов, с помощью которых операторы ZLoader управляли своим ботнетом, а также 319 доменов, зарегистрированных с помощью алгоритма генерирования доменов и использовавшихся в качестве резервных каналов связи.

«В ходе расследования мы установили, что одним из разработчиков компонента, использовавшегося ZLoader для распространения вымогательского ПО, является Денис Маликов, проживающий в Симферополе на Крымском полуострове. Мы решили сообщить имя человека, связанного с этим делом, с целью дать киберпреступникам понять, что они не смогут прятаться за анонимностью в интернете для осуществления преступлений», - сообщила главный директор DCU Эми Хоган-Берни (Amy Hogan-Burney).

В расследовании Microsoft также принимали участие операторы связи и ИБ-компании, в том числе ESET, Lumen Black Lotus Labs, Palo Alto Networks Unit 42 и Avast.

Zloader (другие названия Terdot и DELoader) представляет собой хорошо известный банковский троян, впервые обнаруженный в августе 2015 года, когда он использовался в атаках на ряд клиентов британских финансовых компаний.

Вредонос способен делать скриншоты, собирать файлы cookie, похищать учетные данные и банковскую информацию, запускать механизм персистентности, использовать легитимные инструменты безопасности и обеспечивать злоумышленникам удаленный доступ к зараженной системе.

Подобно вредоносному ПО Zeus Panda и Floki Bot, Zloader почти полностью базируется на исходном коде трояна Zeus v2, утекшем в Сеть более десяти лет назад.

Вредонос использовался в атаках на банки по всему миру, от Австралии и Бразилии до Северной Америки. Злоумышленники собирали финансовые данные с помощью web-инъекций, выманивая у клиентов зараженных банков их коды авторизации и учетные данные с помощью социальной инженерии.

Zloader также оснащен функциями бэкдора и удаленного доступа и может использоваться в качестве загрузчика дополнительного вредоносного ПО.

В последнее время трояном активно пользовались различные кибервымогательские группировки, в частности Ryuk, Egregor, DarkSide и BlackMatter.