Cómo es Zloader, el botnet creado para hacer robos financieros

Se distribuía por medio de dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo.

Compartir
Compartir articulo
 Malware Lab de Microsoft
Malware Lab de Microsoft

Zloader es un programa malicioso que se distribuye a través de paginas web infectadas. Los usuarios pueden verse afectados por mails o anuncios infectados. El objetivo de este malware es robar credenciales bancarias así como otra información confidencial del usuario.

Si bien Zloader comenzó siendo un troyano bancario, llegó a distribuir diferentes tipos de malware, entre ellas ransomware, que cifra y vuelve inaccesibles archivos, documentos y otros elementos que puedan estar alojados en el equipo infectado.

Para maximiza su alcance, Zloader se distribuye por medio de botnets, es decir redes de equipos informáticos infectados que terminan afectando a otros nuevos equipos y así la red de infección va creciendo.

Ahora Microsoft anunció que, a través de su Unidad de Crímenes Digitales (DCU, por sus siglas en inglés), tomó medidas legales y técnicas para interrumpir el botnet Zloader.

Este botnet está compuesto por dispositivos informáticos en empresas, hospitales, escuelas y hogares de todo el mundo. Además, está dirigido por una banda mundial del crimen organizado basada en Internet que opera malware como un servicio, diseñado para robar y extorsionar dinero.

Gracias a la obtención de la orden judicial, la compañía logró que los dominios ahora estén dirigidos a un sumidero de Microsoft donde ya no pueden ser utilizados por los operadores criminales del botnet.

El malware se distribuí a través de una red de equipos infectados (foto: 20Minutos)
El malware se distribuí a través de una red de equipos infectados (foto: 20Minutos)

Zloader contiene un algoritmo de generación de dominios (“DGA”, por sus siglas en inglés) integrado en el malware que crea dominios adicionales como un canal de comunicación alternativo o de respaldo para el botnet. Además de los dominios codificados, la orden judicial permite tomar 319 dominios DGA registrados en la actualidad. A su vez, ya se está trabajando para bloquear el registro futuro de dominios DGA.

Durante la investigación, se identificó a uno de los delincuentes detrás de la creación de un componente utilizado en el botnet ZLoader para distribuir ransomware llamado Denis Malikov, de Simferopol en la península de Crimea.

Se eligió nombrar a una persona en relación con este caso para dejar en claro que a los ciberdelincuentes no se les permitirá esconderse detrás del anonimato de Internet para cometer sus delitos, según destacaron desde la compañía

En un inicio, el objetivo principal de Zloader era el robo financiero, el robo de ID de inicio de sesión, contraseñas y otra información para sacar dinero de las cuentas de las personas.

Zloader también incluye un componente que deshabilita software de seguridad y antivirus populares, para evitar que las víctimas detectaran la infección de Zloader.

Con el tiempo, los que estaban detrás de este botent comenzaron a ofrecer malware como servicio, una plataforma de entrega para distribuir ransomware, incluido Ryuk, que es conocido por apuntar hacia las instituciones de atención médica.

Para llevar adelante la investigación que permitió desbaratar este sistema, Microsoft trabajó junto con Eset, Black Lotus Labs (el brazo de inteligencia de amenazas de Lumen) y la Unidad 42 de Palo Alto Networks.

El malware inicialmente se usaba para robar credenciales bancarias
El malware inicialmente se usaba para robar credenciales bancarias

Además contó con datos e información adicionales para fortalecer el caso legal de los socios Financial Services Information Sharing y Centros de Análisis (FS-ISAC, por sus siglas en inglés) y el Centro de Análisis e Intercambio de Información de Salud (H-ISAC, por sus siglas en inglés). También tuvo el apoyo de Avast en Europa.

Medidas de precaución

Este malware se distribuía por medio de anuncios o mensajes en páginas donde se indicaba que era necesario descargar una supuesta actualización que encerraba el código malicioso. De ahí que siempre, antes de descargar cualquier archivo, aplicación o actualizaciones hay que asegurarse de estar en la página oficial del sitio en cuestión.

Mantener siempre todos los dispositivos actualizados es muy importante porque contienen parches de seguridad. Es clave también estar informado sobre los modos de ataque de los ciberdelincuentes para evitar caer en sus redes y tomar la precauciones que aconsejan los expertos en seguridad.

SEGUIR LEYENDO: