REUTERS

Компания ESET в сотрудничестве с Microsoft Digital Crimes Unit и другими исследователями обезвредили известный ботнет Zloader. При этом специалисты ESET предоставили технический анализ, статистическую информацию, а также доменные имена и IP-адреса командных серверов.

Угроза распространяла разные семейства вредоносных программ, в том числе и программ-вымогателей. Кроме того, Zloader могла похищать данные из браузеров, записывать нажатия клавиш и делать снимки экрана, а также удаленно управлять инфицированными системами. В последнее время угроза распространялась с помощью вредоносной рекламы в браузере и всплывающих окнах на фальшивых сайтах.

Скоординированная операция по обезвреживанию была направлена на три конкретных ботнета, каждый из которых использовал разную версию вредоносного программного обеспечения Zloader. Исследователи ESET помогли идентифицировать 65 вредоносных доменов, которые были использованы во время эффективной операции по обезвреживанию.

Видео дня
Распространение Zloader по всему миру с февраля 2020 года

Кроме этого, ботнет Zloader использовал резервный канал соединения, который автоматически генерирует уникальные доменные имена для получения команд. Этот метод, известный как алгоритм генерации домена, используется для создания 32 разных доменов в день. Чтобы предотвратить использование злоумышленниками этого дополнительного канала для восстановления контроля над ботнет-сетями, было заблокировано уже 319 зарегистрированных доменов. Теперь специалисты по безопасности принимают меры по блокированию регистрации доменов, которые могут быть созданы в будущем.

Следует отметить, что обезвреживание механизмов распространения программ-вымогателей является достаточно эффективным способом противодействия этому виду угроз. В связи с доступностью Zloader на подпольных форумах, специалисты ESET продолжат отслеживать новую активность этого семейства вредоносных программ после операции по обезвреживанию в существующих ботнет-сетях.