Microsoft, Lumen Black Lotus Labs, Palo Alto Networks und Eset haben mit Zloader ein weltweit agierende Botnetz Zloader in die Knie gezwungen. Ziel war es gemäss einer Eset-Mitteilung, die Infrastruktur lahmzulegen und die Aktivitäten der Gruppierung massiv einzuschränken. Die dahintersteckende eCrime-Gruppe war in den vergangenen Jahren zunächst im Bereich Banking-Betrug und Passwortdiebstahl äusserst aktiv. Später erweiterten die Täter ihr Portfolio und boten Zloader in Untergrundforen als "Malware as a Service" an.
Die dahinter befindliche Malware gleichen Namens wurde ursprünglich als Banking-Trojaner auf Basis des 2021 geleakten Sourcecodes des Zeus-Schadprogramms entwickelt. Eset hatte eigenen Angaben zufolge seit 2019 mehr als 14’000 unterschiedliche Schadcode-Samples identifiziert und analysiert. Detaillierte Informationen zur Zloader-Aktion und technische Analysen haben die Eset Experten auf WeLiveSecurity zusammengetragen.
Grundsätzlich zielte die koordinierte Aktion auf drei spezifische Botnetze ab, von denen jedes eine andere Version der Zloader-Malware verwendete. Eset-Forscher identifizierten mehr als 250 Domains, die seit dem 1. Januar 2021 von den Betreibern genutzt wurden, die im Zuge der Aktion erfolgreich übernommen wurden. Darüber hinaus wurde der Backup- Kommunikationskanal ausgeschaltet, der automatisch neue Domänennamen generiert, mit deren Hilfe die Botmaster wieder Befehle an die Zloader-Bots (Zombies) hätten senden können. Diese Technik, die als "Domain Generation Algorithm" (DGA) bekannt ist, wird verwendet, um bis zu 32 verschiedene Domains pro Tag und Botnet zu generieren. Die Domains wurden von der Anti-Zloader-Taskforce identifiziert und bereits registriert, um sicherzustellen, dass die Botnet-Betreiber diesen Seitenkanal nicht nutzen können, um wieder die Kontrolle über das Zombie-Netzwerk zu erlangen.
In Untergrundforen wurde Zloader als Commodity-Malware angeboten. Hierbei müssen die potenziellen Täter keinerlei Programmierkenntnisse aufweisen, sondern können auf ein komplettes eCrime-Service-Paket zurückgreifen. Dies umfasst neben dem Schadcode auch Serviceleistungen und Werbemassnahmen, um Rechner zu attackieren und zu infizieren. Die Käufer erhalten die komplette Infrastruktur zum Ausrollen der Schadprogramme und zum Aufbau und Steuerung eines eigenen Botnetzes.
Detallierte technische Analysen und weiterführende Informationen zur Zloader-Technologie finden sich auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2022/04/21/eset-hilft-das-zloader...
