微软本周宣布,已联手ESET、Black Lotus Labs、Palo Alto Networks Unit 42及Avast等安全企业,以及全球的ISP企业,借由取得法院的命令,接管了ZLoader僵尸网络所使用的65个域名,以及319个由Zloader集团所注册的域名,将使该由金融木马程序起家,后发展成恶意程序即服务的僵尸网络暂时销声匿迹。
ZLoader早在2007年就现身,最初只是个金融木马程序,专门窃取受害者的登录凭证,或自用户账户盗取金钱,但ZLoader作者日益改善该程序,开始提供恶意程序即软件服务,而让它成为Ryuk、DarkSide与BlackMatter等勒索软件的传播渠道。ZLoader的受害者遍布全球,其中又以美国、中国、欧洲与日本为最。
图片来源/微软
ZLoader的能力益发强大,在成功感染受害设备之后,它能够绕过热门杀毒软件的侦测、捕获屏幕截屏、搜集计算机上的Cookie、窃取凭证与金融资料、执行侦察、启动永久进驻机制、滥用合法安全工具,还能允许黑客自远程访问。
微软也公布了ZLoader的攻击链,显示黑客主要利用电子邮件与恶意广告来感染受害者,这些电子邮件附带着恶意的微软Office、PDF与ZIP文件,恶意广告中则含有连接,都是为了将用户导向由黑客所掌控的网站,并下载恶意程序。
图片来源/微软
不知情的用户安装了恶意程序之外,ZLoader便会企图加载各种模块以进一步展开攻击,包括屏幕捕获工具、Cookie搜集工具、银行密码窃取工具,以及VNC访问功能等,它还能针对IE、Firefox、Chrome与Microsoft Edge等浏览器执行中间人攻击,篡改用户于网页上所看到的内容,并窃取受害者所输入的凭证。
图片来源/微软
在微软所接管的域名中,有65个是内置于ZLoader中的C&C域名,但ZLoader还具备一个域名产生算法(Domain Generation Algorithm,DGA),可产生319个域名,以作为该恶意程序的备份通信网站,同样也在法院同意下遭到封锁。
微软表示,此次的行动是为了关闭ZLoader的基础设施,以让该犯罪集团更难展开行动,即使这些黑客依然还会想办法恢复运营,但执法机构、微软与其合作伙伴将会持续密切监视相关的犯罪活动并采取行动。