Comment Zloader, le botnet créé pour commettre des vols financiers

Pour maximiser sa portée, Zloader est distribué via des botnets, c'est-à-dire des réseaux d'ordinateurs infectés qui finissent par affecter d'autres nouveaux ordinateurs et donc le réseau d'infection se développe.

Maintenant, Microsoft a annoncé que, par le biais de son Digital Crimes Unit (DCU), il avait pris des mesures juridiques et techniques pour perturber le botnet Zloader.

Ce botnet est composé d'appareils informatiques dans les entreprises, les hôpitaux, les écoles et les foyers du monde entier. En outre, il est géré par un gang mondial du crime organisé basé sur Internet qui exploite des logiciels malveillants en tant que service, conçu pour voler et extorquer de l'argent.

Grâce à l'obtention de l'ordonnance du tribunal, la société a réussi à faire en sorte que les domaines soient désormais dirigés vers un gouffre Microsoft où ils ne peuvent plus être utilisés par les opérateurs de botnets criminels.

Zloader contient un algorithme de génération de domaine ("DGA") intégré dans le logiciel malveillant qui crée des domaines supplémentaires comme canal de communication alternatif ou de secours pour le botnet. En plus des domaines cryptés, l'ordonnance du tribunal permet la saisie de 319 domaines DGA actuellement enregistrés. À son tour, des travaux sont déjà en cours pour bloquer l'enregistrement futur des domaines DGA.

Au cours de l'enquête, l'un des criminels à l'origine de la création d'un composant utilisé dans le botnet ZLoader pour distribuer un rançongiciel nommé Denis Malikov, de Simferopol sur la péninsule de Crimée, a été identifié.

Il a été choisi de nommer une personne en lien avec cette affaire pour préciser que les cybercriminels ne seront pas autorisés à se cacher derrière l'anonymat d'Internet pour commettre leurs crimes, selon l'entreprise.

Au départ, l'objectif principal de Zloader était le vol financier, le vol d'identifiants de connexion, de mots de passe et d'autres informations pour retirer de l'argent des comptes des utilisateurs.

Zloader comprend également un composant qui désactive les logiciels antivirus et de sécurité populaires, pour empêcher les victimes de détecter l'infection par Zloader.

Au fil du temps, ceux qui sont à l'origine de ce botent ont commencé à proposer des logiciels malveillants en tant que service, une plate-forme de diffusion pour la distribution de ransomwares, dont Ryuk, qui est connu pour cibler les établissements de santé.

Pour mener à bien l'enquête qui a permis de perturber ce système, Microsoft a collaboré avec Eset, Black Lotus Labs (la branche de renseignement sur les menaces de Lumen) et l'unité 42 de Palo Alto Networks.

Además contó con datos e información adicionales para fortalecer el caso legal de los socios Financial Services Information Sharing y Centros de Análisis (FS-ISAC, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información de Salud (H-ISAC, pour ses sigles en anglais). Il avait également le soutien d'Avast en Europe.

Mesures de sécurité

Ce logiciel malveillant était distribué via des publicités ou des messages sur des pages indiquant qu'il était nécessaire de télécharger une supposée mise à jour contenant le code malveillant. Pour cette raison, avant de télécharger un fichier, une application ou une mise à jour, assurez-vous toujours d'être sur la page officielle du site en question.

Il est très important de toujours garder tous les appareils à jour car ils contiennent des correctifs de sécurité. Il est également primordial d'être informé sur les modes d'attaque des cybercriminels pour éviter de tomber dans leurs réseaux et de prendre les précautions recommandées par les experts en sécurité.

CONTINUER À LIRE: