Microsoft prend le contrôle de l’infrastructure du botnet ZLoader

Le malware ZLoader a infecté des milliers de particuliers et d’organisations (entreprises, hôpitaux, écoles…), notamment aux États-Unis, au Canada et en Inde, et a permis de distribuer des rançongiciels comme Conti.

Au terme d’une longue enquête, menée aux cotés d’ESET, de Lumen, de Black Lotus Labs, de Palo Alto Networks Unit 42 et d’Avast, Microsoft a obtenu une ordonnance de la justice américaine pour saisir 65 domaines utilisés par ZLoader pour les C&C de son botnet, ainsi que des domaines issus de son algorithme de génération de domaines (DGA).

« Zloader utilise un algorithme de génération de domaines (DGA) intégré au logiciel malveillant qui crée des domaines supplémentaires de repli ou de secours pour le botnet. En plus des domaines codés en dur, l’ordonnance du tribunal nous permet de prendre le contrôle de 319 autres domaines générés par l’algorithme. Nous nous efforçons également de bloquer l’enregistrement de futurs domaines DGA », précise Amy Hogan-Burney, directrice générale de la Digital Crimes Unit de Microsoft.

L’ensemble de ces domaines renvoie désormais vers un sinkhole contrôlé par Microsoft. ZLoader possédait en tout 14 000 échantillons uniques et plus de 1 300 serveurs de contrôle uniques.

L’enquête a révélé que le groupe avait notamment utilisé Google Ads pour distribuer le ransomware Ryuk (via de fausses campagnes de publicité pour Java, Zoom, TeamViewer ou Discord, menant vers des domaines malveillants), ainsi que des e-mails frauduleux, souvent avec des pièces jointes Microsoft Office infectées.

Pour autant, ZLoader n’a pas été totalement démantelé, et ses membres pourraient relancer prochainement l’activité du botnet. Microsoft a par ailleurs transmis l’affaire aux forces de l’ordre.