ZLoader早在2007年就現身,最初只是個金融木馬程式,專門竊取受害者的登入憑證,或自使用者帳戶盜取金錢,但ZLoader作者日益改善該程式,開始提供惡意程式即軟體服務,而讓它成為Ryuk、DarkSide與BlackMatter等勒索軟體的散布管道,受害者遍布全球。(圖片來源/微軟)

微軟本周宣布,已聯手 ESET、Black Lotus Labs、Palo Alto Networks Unit 42及Avast等資安業者,以及全球的ISP業者,藉由取得法院的命令,接管了ZLoader殭屍網路所使用的65個網域,以及319個由Zloader集團所註冊的網域,將使此一由金融木馬程式起家,後發展成惡意程式即服務的殭屍網路暫時消聲匿跡。

ZLoader早在2007年就現身,最初只是個金融木馬程式,專門竊取受害者的登入憑證,或自使用者帳戶盜取金錢,但ZLoader作者日益改善該程式,開始提供惡意程式即軟體服務,而讓它成為Ryuk、DarkSide與BlackMatter等勒索軟體的散布管道。ZLoader的受害者遍布全球,其中又以美國、中國、歐洲與日本為最。

圖片來源/微軟

ZLoader的能力益發強大,在成功感染受害裝置之後,它能夠繞過熱門防毒軟體的偵測、捕獲螢幕截圖、蒐集電腦上的Cookie、竊取憑證與金融資料、執行偵察、啟動永久進駐機制、濫用合法安全工具,還能允許駭客自遠端存取。

微軟也公布了ZLoader的攻擊鏈,顯示駭客主要利用電子郵件與惡意廣告來感染受害者,這些電子郵件夾帶著惡意的微軟Office、PDF與ZIP文件,惡意廣告中則含有連結,都是為了將使用者導向由駭客所掌控的網站,並下載惡意程式。

圖片來源/微軟

不知情的使用者安裝了惡意程式之外,ZLoader便會企圖載入各種模組以進一步展開攻擊,包括螢幕捕獲工具、Cookie蒐集工具、銀行密碼竊取工具,以及VNC存取功能等,它還能針對IE、Firefox、Chrome與Microsoft Edge等瀏覽器執行中間人攻擊,竄改使用者於網頁上所看到的內容,並竊取受害者所輸入的憑證。

圖片來源/微軟

在微軟所接管的網域中,有65個是內建於ZLoader中的C&C網域,但ZLoader還具備一個網域產生演算法(Domain Generation Algorithm,DGA),可產生319個網域,以作為該惡意程式的備份通訊網站,同樣也在法院同意下遭到封鎖。

微軟表示,此次的行動是為了關閉ZLoader的基礎設施,以讓此一犯罪集團更難展開行動,即使這些駭客依然還會想辦法恢復營運,但執法機構、微軟與其合作夥伴將會持續密切監視相關的犯罪活動並採取行動。

熱門新聞

Advertisement