Microsoft und ein Konsortium von Cybersicherheitsunternehmen haben rechtliche und technische Schritte unternommen, um das ZLoader-Botnetz zu zerschlagen und die Kontrolle über 65 Domains zu übernehmen, die zur Steuerung und Kommunikation mit den infizierten Hosts verwendet wurden.
„ZLoader besteht aus Computergeräten in Unternehmen, Krankenhäusern, Schulen und Privathaushalten auf der ganzen Welt und wird von einer globalen, internetbasierten organisierten Verbrecherbande betrieben, die Malware als Service anbietet, um Geld zu stehlen und zu erpressen“, sagte Amy Hogan-Burney, General Managerin der Digital Crimes Unit (DCU) von Microsoft.
Die Operation wurde laut Microsoft in Zusammenarbeit mit ESET, Lumen’s Black Lotus Labs, Palo Alto Networks Unit 42, Avast, Financial Services Information Sharing and Analysis Center (FS-ISAC) und Health Information Sharing and Analysis Center (H-ISAC) durchgeführt.
Infolge der Unterbrechung werden die Domains nun in ein Sinkhole umgeleitet, wodurch die kriminellen Betreiber des Botnetzes effektiv daran gehindert werden, die kompromittierten Geräte zu kontaktieren. Weitere 319 Backup-Domains, die über einen eingebetteten Domain-Generierungsalgorithmus (DGA) generiert wurden, wurden im Rahmen der gleichen Operation beschlagnahmt.
ZLoader begann wie sein berüchtigtes Gegenstück TrickBot im November 2019 als Ableger des Zeus-Bankentrojaners, bevor er aktiv verfeinert und aktualisiert wurde, so dass andere Bedrohungsakteure die Malware in Untergrundforen kaufen und für ihre Ziele umfunktionieren konnten.
„ZLoader hat sich als bevorzugtes Werkzeug der Angreifer behauptet, indem er Fähigkeiten zur Umgehung von Verteidigungsmaßnahmen, wie die Deaktivierung von Sicherheits- und Antiviren-Tools, eingebaut hat und Zugang als Service an andere Partnergruppen, wie z. B. Ransomware-Betreiber, verkauft“, so Microsoft.
„Zu seinen Fähigkeiten gehören das Erfassen von Screenshots, das Sammeln von Cookies, das Stehlen von Anmeldeinformationen und Bankdaten, das Auskundschaften, das Starten von Persistenzmechanismen, der Missbrauch legitimer Sicherheitstools und die Bereitstellung von Fernzugriff für Angreifer.“
Die Entwicklung von ZLoader von einem einfachen Finanztrojaner zu einer ausgefeilten Malware-as-a-Service (MaaS)-Lösung hat es den Betreibern auch ermöglicht, die Kompromittierungen zu monetarisieren, indem sie den Zugang an andere Partner-Akteure verkaufen, die ihn dann missbrauchen, um zusätzliche Nutzlasten wie Cobalt Strike und Ransomware zu verteilen.
Kampagnen mit ZLoader haben Phishing-E-Mails, Fernverwaltungssoftware und gefälschte Google-Anzeigen missbraucht, um sich zunächst Zugang zu den Zielcomputern zu verschaffen, während sie gleichzeitig mehrere komplexe Taktiken zur Umgehung der Verteidigung einsetzten, einschließlich der Einschleusung von bösartigem Code in legitime Prozesse.
Interessanterweise hat eine Analyse der bösartigen Aktivitäten der Malware seit Februar 2020 ergeben, dass die meisten Operationen seit Oktober 2020 von nur zwei Partnerunternehmen ausgingen: „dh8f3@3hdf#hsf23“ und „03d5ae30a0bd934a23b6a7f0756aa504“.
Während ersterer „die Fähigkeit von ZLoader, beliebige Payloads zu verteilen, ausnutzte, um seine Bots mit bösartigen Payloads zu versorgen“, scheint sich der andere, bis heute aktive Affiliate darauf konzentriert zu haben, Zugangsdaten von Banken, Kryptowährungsplattformen und E-Commerce-Seiten abzuschöpfen, so das slowakische Cybersicherheitsunternehmen ESET.
Zu allem Überfluss entlarvte Microsoft auch Denis Malikov, der in der Stadt Simferopol auf der Halbinsel Krim lebt, als einen der Akteure hinter der Entwicklung eines Moduls, mit dem das Botnetz Ransomware-Stämme verteilt.
Die Aktion erinnert an eine globale Operation zur Zerschlagung des berüchtigten TrickBot-Botnetzes im Oktober 2020. Obwohl das Botnetz im letzten Jahr wieder auftauchte, wurde es von den Malware-Autoren zugunsten anderer getarnter Varianten wie BazarBackdoor aufgegeben.
„Wie bei vielen modernen Malware-Varianten ist das Einschleusen von ZLoader auf ein Gerät oft nur der erste Schritt zu einem größeren Angriff“, so Microsoft. „Der Trojaner ist ein weiteres Beispiel für den Trend, dass gewöhnliche Malware zunehmend gefährlichere Bedrohungen beherbergt.