مايكروسوفت تعطل شبكة ZLoader ,اتخذت مايكروسوفت ومجموعة من شركات الأمن السيبراني خطوات قانونية وتقنية لتعطيل شبكة ZLoader الروبوتية ، والاستيلاء على 65 مجالًا تم استخدامها للتحكم في المضيفين المصابين والتواصل معهم.
“يتكون ZLoader من أجهزة حوسبة في الشركات والمستشفيات والمدارس والمنازل في جميع أنحاء العالم ويتم تشغيله بواسطة عصابة الجريمة المنظمة العالمية القائمة على الإنترنت والتي تقوم بتشغيل البرامج الضارة كخدمة مصممة لسرقة الأموال وابتزازها” ، إيمي هوجان- قال بيرني ، المدير العام لوحدة الجرائم الرقمية في مايكروسوفت (DCU).
قالت مايكروسوفت إن العملية تمت بالتعاون مع ESET و Lumen’s Black Lotus Labs و Palo Alto Networks Unit 42 و Avast ومركز مشاركة وتحليل معلومات الخدمات المالية (FS-ISAC) ومركز مشاركة وتحليل المعلومات الصحية (H-ISAC). ).
نتيجة للاضطراب ، تمت إعادة توجيه المجالات الآن إلى ثقب ، مما يمنع بشكل فعال المشغلين الإجرامي لشبكة الروبوتات من الاتصال بالأجهزة المخترقة. تم أيضًا مصادرة 319 نطاقًا احتياطيًا آخر تم إنشاؤه عبر خوارزمية إنشاء مجال مضمن (DGA) كجزء من نفس العملية.
بدأت ZLoader ، مثل نظيرتها سيئة السمعة TrickBot ، كمشتق من Zeus Banking trojan في نوفمبر 2019 قبل أن تخضع لعمليات التحسين والترقيات النشطة التي مكنت الجهات الفاعلة الأخرى من شراء البرامج الضارة من المنتديات السرية وإعادة توظيفها لتناسب أهدافهم.
قالت مايكروسوفت: “ظلت ZLoader ذات صلة كأداة يختارها المهاجمون من خلال تضمين قدرات التهرب الدفاعي. مثل تعطيل أدوات الأمان ومكافحة الفيروسات. وبيع الوصول كخدمة إلى مجموعات تابعة أخرى. مثل مشغلي برامج الفدية”.
“تشمل قدراته التقاط لقطات الشاشة. وجمع ملفات تعريف الارتباط. وسرقة بيانات الاعتماد والبيانات المصرفية. وإجراء الاستطلاع. وإطلاق آليات المثابرة. وإساءة استخدام أدوات الأمان المشروعة. وتوفير الوصول عن بعد للمهاجمين.”
انتقال ZLoader إلى حل معقد للبرامج
إن انتقال ZLoader من حصان طروادة مالي أساسي إلى حل معقد للبرامج الضارة كخدمة (MaaS) قد أتاح أيضًا للمشغلين تحقيق الدخل من التسويات عن طريق بيع الوصول إلى الجهات الفاعلة الأخرى التابعة. والتي تسيء استخدامها بعد ذلك لنشر حمولات إضافية مثل Cobalt Strike و ransomware.
أساءت الحملات التي تنطوي على ZLoader رسائل البريد الإلكتروني للتصيد الاحتيالي وبرامج الإدارة عن بُعد وإعلانات Google المارقة للوصول الأولي إلى الأجهزة المستهدفة. بينما تستخدم في الوقت نفسه العديد من الأساليب المعقدة للتهرب الدفاعي ، بما في ذلك حقن التعليمات البرمجية الضارة في عمليات مشروعة.
ومن المثير للاهتمام. أن تحليل الأنشطة الخبيثة للبرامج الضارة منذ فبراير 2020 كشف أن معظم العمليات نشأت من شركتين تابعتين فقط منذ أكتوبر 2020: “dh8f3 @ 3hdf # hsf23” و “03d5ae30a0bd934a23b6a7f0756aa504”.
بينما استخدمت الأولى “قدرة ZLoader على نشر حمولات عشوائية لتوزيع حمولات ضارة على برامج الروبوت الخاصة بها.” يبدو أن الشركة التابعة الأخرى ، النشطة حتى الآن. قد ركزت على سرقة بيانات الاعتماد من البنوك ومنصات العملات المشفرة ومواقع التجارة الإلكترونية. وهي شركة أمن إلكتروني سلوفاكية قال إسيت.
Microsoft
وفوق كل ذلك. كشفت Microsoft أيضًا عن دينيس ماليكوف. الذي يعيش في مدينة سيمفيروبول في شبه جزيرة القرم. كواحد من الجهات الفاعلة وراء تطوير وحدة نمطية تستخدمها الروبوتات لتوزيع سلالات برامج الفدية. مشيرة إلى أنها اختارت تسمية الجاني “لتوضيح أنه لن يُسمح لمجرمي الإنترنت بالاختباء وراء إخفاء الهوية على الإنترنت لارتكاب جرائمهم.”
تذكرنا جهود الإزالة بعملية عالمية لتعطيل شبكة TrickBot سيئة السمعة في أكتوبر 2020. على الرغم من أن الروبوتات تمكنت من التعافي العام الماضي. إلا أنها تقاعدت منذ ذلك الحين من قبل مؤلفي البرامج الضارة لصالح متغيرات التخفي الأخرى مثل BazarBackdoor.
بينما قالت مايكروسوفت: “مثل العديد من متغيرات البرمجيات الخبيثة الحديثة. فإن إدخال ZLoader على الجهاز هو في كثير من الأحيان مجرد خطوة أولى في ما ينتهي به الأمر إلى هجوم أكبر”. “حصان طروادة يمثل مزيدًا من الأمثلة على اتجاه البرامج الضارة الشائعة التي تؤوي بشكل متزايد تهديدات أكثر خطورة.”
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.