A Microsoft lebuktatta a Zloadert

forrás: Prím Online, 2022. április 24. 13:09

Egy viszonylag jól ismert és rendkívül szofisztikáltan működő trójai programot, a Zloadert sikerült azonosítania és működésképtelenné tennie a Microsoft kiberbűnözőkre szakosodott részlegének  (Digital Crimes Unit) a közelmúltban.  

Felfedték a rosszindulatú, adattolvaj program pontos működési módját, sőt megnevezték azt a konkrét személyt is, aki a bűncselekmények hátterében áll. Egy Denis Malikov nevű, a jelenleg Oroszországhoz  tartozó, Krím félszigeten élő férfihez köthető a Zloader terjesztése, aki minden bizonnyal egy nagyobb bűnbanda tagja lehet. 

 

 

A Zloader 2015 óta ismert. Bankok, vállalkozások, kórházak, iskolák, illetve egyéni felhasználók számítógépeit fertőzték meg vele a világ szinte minden táján. A célja kezdetben az volt, hogy banki  azonosító adatokat megszerezve kifossza a felhasználókat. A Zloader sokáig képes volt kicselezni az antivírus programokat is. Idővel a Zloader már szolgáltatásként terjesztett olyan szoftvert, amely a Ryuk néven azonosított víruson keresztül támadott elsősorban egészségügyi intézményeket, amelyektől szintén pénzt tulajdonított el, miközben magukat a pácienseket is veszélybe sodorta. 

 

A Zloader rosszindulatú programokkal megfertőzött szerverek egész hálózatát, egy botnetet hozott létre és tartott az ellenőrzése alatt: ilyenkor az eszközök a kiberbűnözői hálózat részeként viselkednek, anélkül, hogy felhasználóik tudnának erről. A hálózat bővítésére, irányítására és az eszközök közötti kommunikáció fenntartása érdekében a kiberbűnözők számos internetes domain címet vettek az ellenőrzésük alá. 65 ilyen domaint sikerült eddig azonosítani, amelyeket a Microsoft ún. sinkholing technológiát alkalmazva kapcsolt le. A Zloader-be egy domaingeneráló algoritmus (DGA domain generation algorithm) volt beágyazva, amely újabb és újabb domaineket hozott létre, amelyeken keresztül a botmaster (a botnet irányító központja) a zombivá tett számítógépekkel tartotta a kapcsolatot.  Az Egyesült Államokban bírósági végzés adott felhatalmazást a Microsoftnak, hogy a fizikailag kódolt domaineken túl, további 319, nemrégiben regisztrált DGA domaint is az ellenőrzése alá vonjon.

 

A Microsoft most azon dolgozik, hogy a további DGA domainek regisztrációját is megakadályozza.