In einer gemeinsamen Aktion mit Microsoft, Lumen Black Lotus Labs und Palo Alto Networks ist es ESET gelungen, das weltweit agierende Botnetz Zloader zu deaktivieren. Ziel war es, die Infrastruktur lahmzulegen und die Aktivitäten der Gruppierung massiv einzuschränken. Die dahintersteckende eCrime-Gruppe war in den vergangenen Jahren zunächst im Bereich Banking-Betrug und Passwortdiebstahl äußerst aktiv. Später erweiterten die Täter ihr Portfolio und boten Zloader in Untergrundforen als „Malware as a Service“ an. Die dahinter befindliche Malware gleichen Namens wurde ursprünglich als Banking-Trojaner auf Basis des 2021 geleakten Sourcecodes des Zeus-Schadprogramms entwickelt. ESET hatte seit 2019 mehr als 14.000 unterschiedliche Schadcode-Samples identifiziert und analysiert. Detaillierte Informationen zur Zloader-Aktion und technische Analysen haben die ESET Experten auf WeLiveSecurity zusammengetragen.
Dreistufige Aktion mit einschlagendem Erfolg
Die koordinierte Aktion zielte auf drei spezifische Botnetze ab, von denen jedes eine andere Version der Zloader-Malware verwendete. ESET-Forscher identifizierten mehr als 250 Domains, die seit dem 1. Januar 2021 von den Betreibern genutzt wurden, die im Zuge der Aktion erfolgreich übernommen wurden. Darüber hinaus wurde der Backup- Kommunikationskanal ausgeschaltet, der automatisch neue Domänennamen generiert, mit deren Hilfe die Botmaster wieder Befehle an die Zloader-Bots (Zombies) hätten senden können. Diese Technik, die als „Domain Generation Algorithm“ (DGA) bekannt ist, wird verwendet, um bis zu 32 verschiedene Domains pro Tag und Botnet zu generieren. Die Domains wurden von der Anti-Zloader-Taskforce identifiziert und bereits registriert, um sicherzustellen, dass die Botnet-Betreiber diesen Seitenkanal nicht nutzen können, um wieder die Kontrolle über das Zombie-Netzwerk zu erlangen.
Malware as a Service als Vertriebsmodell
In Untergrundforen wurde Zloader als Commodity-Malware angeboten. Hierbei müssen die potenziellen Täter keinerlei Programmierkenntnisse aufweisen, sondern können auf ein komplettes eCrime-Service-Paket zurückgreifen. Dies umfasst neben dem Schadcode auch Serviceleistungen und Werbemaßnahmen, um Rechner zu attackieren und zu infizieren. Die Käufer erhalten die komplette Infrastruktur zum Ausrollen der Schadprogramme und zum Aufbau und Steuerung eines eigenen Botnetzes.
Hintergrund zur Zloader-Malware
Die erste von ESET entdeckte Version von Zloader (V.1.0.0.0) - damals in Untergrundforen als „Silent Night“ angekündigt und beworben - stammt vom 09. November 2019 und basierte auf dem publik gewordenen Programmcode des Zeus-Banking-Trojaners. Die Verbreitung erfolgte u.a. über Spam-Mails mit manipulierte Office-Dateien zum Thema Covid-19. Im weiteren Verlauf setzen die unterschiedlichen eCrime-Gruppen für die Verbreitung auf RIG-Exploit-Kits, Spam-Mails mit gefälschten Rechnungen (XLS-Makros) und Google Ads-Kampagnen, um potenzielle Opfer auf manipulierte Webseiten mit infizierten Downloads zu locken. Der Einsatz von Exploit-Kits ist für die Schadcode-Verbreitung lohnend, da mit diesen in eCrime-Foren gehandelten Tools gezielt und automatisiert nach ausnutzbaren Lücken in Computerprogrammen gesucht werden kann.
Die Technologie hinter Zloader
Detallierte technische Analysen und weiterführende Informationen finden Sie auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2022/04/21/eset-hilft-das-zloader-botnet-empfindlich-zu-stoeren/