Microsoft ha aiutato a disabilitare tre botnet che hanno rubato informazioni e diffuso ransomware ad aziende di tutto il mondo.
Le botnet coinvolgono una famiglia di malware basata su Windows nota come ZLoader, che può dirottare i PC.
Mercoledì, Microsoft ha dichiarato di essersi assicurata un'ingiunzione del tribunale statunitense per acquisire oltre 65 domini Internet utilizzati dalle botnet per comunicare con i computer infettati da ZLoader.
I domini sono ora indirizzati a una voragine Microsoft dove non possono più essere utilizzati dagli operatori criminali della botnet
ha affermato la società.
Inoltre, l'ingiunzione del tribunale di Microsoft consente all'azienda di assumere il controllo di altri 319 domini che la botnet è stata programmata per utilizzare come meccanismo di fallback.
Cos'è Zloader
Il malware ZLoader è emerso inizialmente nel 2019 come un Trojan bancario a cui i criminali informatici potevano acquistare l'accesso.
Secondo Microsoft, può diffondersi attraverso campagne di phishing e-mail caricate con allegati dannosi. In altri casi, arriva tramite Google Ads per prodotti contraffatti, come il software di videoconferenza Zoom.
Se ZLoader infetta con successo, il malware può acquisire schermate, sollevare password e monitorare le sequenze di tasti sul PC. Allo stesso tempo, le infezioni risultanti possono dare agli hacker il controllo sul computer, aprendo la strada a una botnet o a un esercito di macchine asservite.
Per fare soldi con le botnet, gli hacker hanno venduto l'accesso alle macchine infette.
A sua volta, ZLoader è stato programmato per caricare altri payload dannosi, inclusi pacchetti ransomware come Ryuk, DarkSide e BlackMatter.
L'altro problema è che ZLoader è stato rilevato in numerosi computer negli Stati Uniti, in Cina, nell'Europa occidentale e in Giappone.
La risposta di Microsoft
In risposta, Microsoft ha affermato di aver collaborato con i fornitori di sicurezza ESET, Palo Alto Networks e Black Lotus Labs per identificare il modo in cui ZLoader comunica e interrompe la sua infrastruttura.
L'operazione di interruzione coordinata ha preso di mira tre botnet specifiche, ognuna delle quali utilizza una versione diversa del malware Zloader.
ha osservato ESET nel proprio post sul blog.
Durante le indagini, Microsoft ha affermato di aver identificato anche uno dei presunti sviluppatori del malware ZLoader.