ESET contribui com operação global para interromper as botnets do Zloader

A ESET tem colaborado com parceiros como a Digital Crimes Unit (DCU) da Microsoft, Lumen's Black Lotus Labs, Palo Alto Networks Unit 42 em uma tentativa de interromper as conhecidas botnets Zloader. A ESET contribuiu para o projeto fornecendo análises técnicas, informações estatísticas e nomes de domínio e endereços IP de servidores de comando e controle conhecidos.

A botnet Zloader começou a vida como um trojan bancário, mas ultimamente evoluiu para se tornar um distribuidor de várias famílias de malware, incluindo várias famílias de ransomware.

A operação coordenada de interrupção visou três botnets específicas, cada uma usando uma versão diferente do malware Zloader. Os pesquisadores da ESET ajudaram na identificação de 65 domínios que haviam sido utilizados por esses operadores das botnets recentemente e que foram sequestrados para que essa operação de interrupção fosse realmente eficaz. Além disso, os bots da Zloader dependem de um canal de comunicação de backup que gera automaticamente nomes de domínio exclusivos que podem ser usados para receber comandos de seus botmasters. Esta técnica, conhecida como algoritmo de geração de domínio (DGA, pela sigla em inglês), é utilizada para gerar 32 domínios diferentes por dia, por botnet. Para garantir que os operadores da botnet não possam usar este canal lateral para recuperar o controle de suas redes de botnets, foram tomados 319 domínios adicionais já registrados gerados por este algoritmo e o grupo de trabalho também está tomando medidas para bloquear o registro de domínios DGA que podem ser gerados no futuro. A pesquisa da Microsoft também identificou Denis Malikov como coautor de um componente malicioso utilizado nas botnets para distribuir ransomware.

Antecedentes

A Zloader é uma das muitas famílias de trojans bancários fortemente inspiradas pelo famoso trojans bancário Zeus, cujo código fonte foi vazado em 2011. Muitos artigos de pesquisa já foram publicados sobre este malware, como o paper da Malwarebytes e HYAS - o mais detalhado do ponto de vista técnico.

Este artigo não se concentrará em aspectos técnicos profundos sobre o trojan, mas destacará detalhes de seu funcionamento e infraestrutura.

A primeira versão (1.0.0.0) da botnet Zloader que encontramos foi compilada em 9 de novembro de 2019, no mesmo dia em que foi anunciada e publicada em fóruns clandestinos com o nome de "Silent Night". Os pesquisadores da ESET têm acompanhado de perto a atividade e evolução da ameaça desde então, dando-nos uma grande visão do modo de operação da Zloader e de sua infraestrutura.

Ao longo da existência da Zloader, analisamos cerca de 14 mil amostras únicas através de nosso sistema de rastreamento automático, o que nos ajudou a descobrir mais de 1.300 servidores de comando e controle (C&C) únicos. Em março de 2020, a Zloader implementou um algoritmo de geração de domínios (DGA) que nos permitiu descobrir cerca de 300 domínios ativos adicionais registrados por operadores da Zloader e usados como servidores de C&C.

Temos visto alguns picos na popularidade da Zloader entre os cibercriminosos, principalmente durante seu primeiro ano de existência, mas seu uso começou a declinar durante 2021 e apenas alguns cibercriminosos a usaram para suas ações criminosas. Isso pode, no entanto, mudar no futuro, pois já vimos amostras da versão 2.0 em atividade (compiladas em julho de 2021). Nossas descobertas mostram que estas amostras foram apenas versões de testes, mas estaremos acompanhando de perto esta nova atividade e sua evolução. Devido à baixa prevalência e à natureza desta nova versão, todas as informações a seguir se aplicam à versão 1.x da Zloader.

Como já mencionado, a Zloader, semelhante a outros malwares personalizados e disponíveis para compra ou download, está sendo anunciada e vendida em fóruns clandestinos. Quando comprada, as afiliadas recebem tudo o que precisam para montar seus próprios servidores com painéis de administração e começar a construir seus bots. As afiliadas são então responsáveis pela distribuição e manutenção de suas botnets.

Como podemos ver na Figura 1, temos observado campanhas de distribuição da Zloader em muitos países, sendo os Estados Unidos o país onde se observou maior atividade.

Figura 1. Taxa de detecção de campanhas da Zloader em todo o mundo (com base em dados desde fevereiro de 2020).

O Zloader tem sido utilizado por vários grupos afiliados e cada um deles tem usado uma abordagem diferente para a distribuição do malware, inclusive:

• Kit de exploração RIG
• E-mails de spam que usam o tema Covid-19 e que incluem documentos maliciosos do Microsoft Word anexados
• Variantes de um falso de e-mails de spam que incluem documentos com macros XLS maliciosos
• Uso indevido dos anúncios do Google

O desenvolvimento dos últimos métodos de distribuição será abordado nas próximas seções.

Características internas do Zloader

O Zloader tem uma arquitetura modular, baixando e utilizando seus módulos conforme necessário. Os módulos compatíveis do Zloader são exibidos na Tabela 1 e 2.

Tabela 1. Visão geral dos módulos maliciosos utilizados pelo Zloader.

Tabela 2. Ferramentas legítimas utilizadas abusivamente pelo Zloader para apoiar suas tarefas maliciosas.

O primeiro componente do Zloader é um loader que é usado para baixar ou carregar (caso já tenha sido baixado) o módulo central. Este módulo central é responsável pelo download e carregamento de módulos adicionais e pela execução de suas próprias tarefas maliciosas.

As características mais notáveis do Zloader são:

• Capacidade de roubar vários dados de navegadores e do Microsoft Outlook, roubar carteiras de criptomoedas;
• Registro de teclas (Keylogging);
• Compatibilidade com o HiddenVNC para permitir ao operador o controle remoto de sistemas comprometidos;
• Compatibilidade com o webinjects do tipo Zeus, captura de formulário e captura de tela de formulário;
• Execução arbitrária de comandos (por exemplo, download e execução de outros malwares).

Toda a comunicação entre os bots e seus servidores C&C é realizada através de HTTP/HTTPS, e independentemente de qual seja utilizado, os dados são criptografados usando RC4. Alguns dos dados são adicionalmente criptografados usando um algoritmo baseado em XOR conhecido como "Visual Encrypt". A chave RC4 é única para cada afiliado, conforme descrito na próxima seção. A Figura 2 mostra a configuração estática de um bot. Ela contém uma lista de até dez URLs de C&C codificadas juntamente com outros dados importantes para comunicação - tais como a botnetID para ajudar o operador a filtrar facilmente os dados de diferentes campanhas, a assinatura para verificação da comunicações, etc. A lista de C&C de um bot pode ser facilmente atualizada através de um comando do painel de administração do operador.

Figura 2. Configuração estática do Zloader.

Se nenhum dos servidores codificados responder, um bot do Zloader pode usar seu DGA como mecanismo de emergência. Todos os dias, uma lista de 32 novos domínios exclusivos para cada afiliado é gerada com base no dia atual recuperado pela função GetLocalTime. As URLs geradas têm o formato https://<20_random_lowercase_ASCII_letters>.com/post.php

A infraestrutura da botnet e afiliados

A chave de criptografia RC4 utilizada na comunicação da botnet é única para cada afiliado e está vinculada à instalação do painel de administração do afiliado. Esta exclusividade nos dá a oportunidade de agrupar amostras do Zloader e acompanhar os métodos de distribuição dos afiliados e a evolução de suas campanhas.

Desde o início de nosso rastreamento, já observamos mais de 25 chaves RC4 diferentes. Vale notar que algumas dessas filiais estiveram ativas por um período muito curto - algumas delas provavelmente estavam apenas testando as funções do Zloader. Também é possível que alguns operadores tenham simplesmente reinstalado novamente o painel de administração em algum momento e continuado sua operação com uma nova chave RC4. Uma linha do tempo de atividade notável da filial, assim como várias datas de lançamento da versão Zloader, pode ser vista na Figura 3.

Figura 3. Actividad de algunos de los afiliados más destacados

Como pode ser visto na Figura 5, a partir de outubro de 2020, a maior parte da atividade do Zloader foi realizada por seus afiliados. Podemos distingui-los por suas chaves RC4 - RC4: 03d5ae30a0bd934a23b6a7f0756aa504 y dh8f3@3hdf#hsf23.

Destacamos as atividades destes dois afiliados nas duas próximas seções.

dh8f3@3hdf#hsf23

Este afiliado esteve ativa com esta chave RC4 a partir de junho de 2020. A primeira versão do Zloader utilizada foi a 1.3.27.0 e depois continuou com as versões mais novas disponíveis até a última versão do Zloader disponível até o momento: a 1.8.30.0. Entretanto, sua atividade começou a declinar na segunda metade de 2021 e não vimos nenhuma nova atividade desta botnet desde o fim de novembro de 2021.

Uma das atividades mais interessantes desse afiliado é o uso da capacidade do Zloader de distribuir payloads de forma arbitrária para propagar payloads maliciosos para seus bots. Mais notavelmente, ele propagou várias famílias de ransomware, como a DarkSide, como destacado por esta pesquisa da Guidepoint Security. No entanto, o botmaster não implantou ransomware em todos os seus bots; eles implantaram este tipo de malware principalmente em sistemas pertencentes a redes corporativas. Quando instalado em um sistema, o Zloader reúne várias informações sobre a rede à qual seu host comprometido pertence. Isto permite que os operadores da botnet selecionem payloads específicos, dependendo da rede da vítima.

Este afiliado estava propagando o Zloader principalmente através de e-mails de spam com documentos maliciosos anexos. A configuração estática do Zloader contém uma botnetID, permitindo ao botmaster agrupar diferentes bots em diferentes sub-botnets. As botnetIDs mais prevalentes para esse afiliado no último ano de sua operação foram nut e kev.

Este operador também estava um pouco mais consciente da segurança em comparação com outros clientes do Zloader e usou uma arquitetura em camadas para seus servidores C&C. Geralmente, um simples script proxy era plantado em um site frequentemente legítimo, mas comprometido, e era usado para URLs de C&C de camada 1 em seus bots. Este script simplesmente encaminha todo o tráfego HTTP/HTTPS do bot para o servidor de nível 2, mantendo a localização da real instalação do painel de administração em segredo.

Além de utilizar o Zloader como ponto de entrada para ataques de ransomware, esse afiliado também utilizou as capacidades do Zloader conhecida como “adversário no navegador” (AitB, pela sigla em inglês) para roubar informações sobre vítimas e alterar o conteúdo de várias instituições financeiras e sites de e-commerce sediados nos EUA e Canadá.

03d5ae30a0bd934a23b6a7f0756aa504

Este filiado tem usado o Zloader desde suas primeiras versões e ainda está ativa até hoje. Apesar da última versão disponível do Zloader ser a 1.8.30.0, este afiliado tem mantido a versão 1.6.28.0 desde seu lançamento em outubro de 2020. Podemos apenas especular sobre as razões por trás disto. Uma hipótese é que este afiliado não pagou para ampliar sua cobertura de suporte para o Zloader e, portanto, não tem acesso às versões posteriores.

O operador desta botnet costumava depender exclusivamde ente dos domínios de C&C gerados pela DGA do Zloader e não atualizava seus bots com uma nova lista C&C por mais de um ano, o que significava que todos os servidores de C&C codificados em seus bots ficaram inativos por um longo tempo. Isto mudou em novembro de 2021, quando este afiliada atualizou seus bots com uma lista de novos servidores C&C e também atualizou a configuração estática dos binários recentemente distribuídos para refletir esta mudança. Este esforço foi provavelmente motivado pelo medo de perder o acesso à sua rede de bots caso alguém registre e afunde todos os futuros domínios gerados pela DGA para este atacante.

A Figura 4 mostra a página de login do painel de administração que foi instalada diretamente no servidor C&C codificado na configuração estática do bot.

Figura 4: Página de login do painel de administração.

Algumas das botnetIDs mais destacadas utilizadas por este operador foram: pessoais, googleaktualizacija e, mais recentemente retornam, 909222, 9092ti e 9092us.

Através da análise dos webinjects baixados pelos bots nesta botnet afiliada, percebemos que os interesses do operador são bem amplos. Aparentemente, eles estão interessados em reunir as credenciais de login das vítimas e outros dados pessoais de vários sites de instituições financeiras (bancos, plataformas de trading, etc.), sites de e-commerce (tais como Amazon, Best Buy, Walmart), exchange de criptomoedas, e até mesmo várias plataformas on-line como Google e Microsoft. Foi dado um enfoque especial aos clientes de instituições financeiras dos EUA, Canadá, Japão, Austrália e Alemanha.

Além da coleta de credenciais de login, esse afiliado também utilizou o Zloader para distribuir várias famílias de malware, tais como o popular malware que rouba informações Raccoon.

Distribuição

Este atacante usa vários meios para propagar o Zloader com o uso indevido de anúncios do Google e sites falsos para adultos como seus mais recentes métodos de distribuição escolhidos.

A partir de outubro de 2020, sites falsos para adultos começaram a enviar para seus visitantes payloads maliciosos que se faziam passar por uma atualização Java em um pacote MSI (com o nome de arquivo JavaPlug-in.msi), supostamente necessário para assistir ao vídeo solicitado. Este falso pacote de atualização Java normalmente continha um downloader que fazia o download do próprio Zloader como payload final. Desde abril de 2021, este esquema foi melhorado com a adição de um script para desativar o Microsoft Defender para aumentar ainda mais as chances de comprometer com sucesso o sistema.

Em junho de 2021, este afiliado também começou a promover pacotes tipicamente utilizados em ambientes corporativos. Quando os usuários da internet buscavam um aplicativo popular para download, como o Zoom ou o TeamViewer, talvez lhes fosse apresentado um site de download falso promovido através de um anúncio do Google que tentava enganá-los para fazer o download de um pacote malicioso que se fazia passar pelo aplicativo que eles estavam procurando. Este método de distribuição não só instalou o Zloader como também pode instalar outras ferramentas potencialmente maliciosas, especialmente se o sistema comprometido fosse parte de um domínio do Active Directory. O popular Cobalt Strike Beacon e Atera Agent foram instalados em tais casos. Estas ferramentas podem conceder ao atacante o controle completo do sistema comprometido e resultar em roubo de dados sensíveis da empresa, instalação de outros malwares, tais como ransomware e outras atividades maliciosas que podem gerar perdas significativas para a empresa.

A Figura 5 mostra a lógica para verificar se um sistema pertence a um domínio. Como podemos ver logo abaixo, o Cobalt Strike Beacon é instalado se a lista de domínios confiáveis do sistema não estiver vazia.

Figura 5. Script do PowerShell responsável pela instalação do Cobalt Strike Beacon.

A última iteração deste método de distribuição se baseou fortemente no já mencionado Agente Atera, que geralmente era baixado de sites falsos para adultos. Um exemplo do que um visitante veria é mostrado na Figura 6.

Figura 6. Site falso para adultos atraindo usuários para o download da ferramenta de gerenciamento remoto Atera.

A Atera Agent é uma solução legítima de "controle e gerenciamento remoto" usada por empresas de TI para administrar os sistemas de seus clientes. Uma de suas características - execução remota de scripts - foi utilizada nesta campanha para entregar os payloads do Zloader e outros arquivos de ajuda maliciosos. O objetivo destes arquivos auxiliares era apoiar o processo de instalação executando tarefas específicas tais como escalonamento de privilégios, execução de mais amostras, desabilitação do Windows Defender, etc.

Estas tarefas foram geralmente realizadas através de arquivos BAT simples, mas vale mencionar que os atacantes também exploraram uma vulnerabilidade conhecida de verificação de assinatura digital para usar arquivos executáveis legítimos e assinados do Windows com VBScripts maliciosos anexados ao final desses arquivos, onde a seção de assinatura está localizada (ver Figura 7). Para que o arquivo PE permaneça válido, os atacantes também precisam alterar o cabeçalho do PE para alterar o comprimento da seção de assinatura e o checksum. Esta alteração do conteúdo do arquivo não revoga a validade de sua assinatura digital durante o processo de verificação, pois o conteúdo modificado está isento do processo de verificação. Assim, o novo conteúdo malicioso do arquivo pode, portanto, ficar fora do radar. Esta vulnerabilidade é descrita, por exemplo, no CVE-2012-0151 ou CVE-2013-3900, e também nesta publicação produzida pela Check Point Research. Infelizmente, sua correção está desativada por padrão no Windows e, portanto, ainda pode ser mal utilizada de maneira indevida por atacantes em um grande número de sistemas.

Figura 7. Exemplo de um script anexado à seção de assinatura do arquivo PE.

Na recente campanha, um trojan Ursnif foi instalado algumas vezes em vez do Zloader, mostrando que este grupo afiliado não depende de uma única família de malware, mas tem mais truques na manga. Um cenário típico deste método de distribuição é mostrado na Figura 8.

Figura 8. Método típico de distribuição utilizando o Agente Atera.

Observações finais

Continuamos implacavelmente rastreando as ameaças que são usadas para propagar ransomware, que é uma ameaça contínua à segurança da internet. Como o Zloader está disponível em fóruns clandestinos, pesquisadores da ESET continuarão monitorando qualquer nova atividade vinculada a esta família de malware, após esta operação de interrupção contra suas botnets existentes.

Indicadores de Comprometimento

Amostras

Rede

Domínios e URLs utilizadas para distribuição

• https://endoftheendi[.]com
• https://sofftsportal[.]su
• https://pornokeyxxx[.]pw
• https://porno3xgirls[.]website
• https://porno3xgirls[.]space
• https://porno3xgirls[.]fun
• https://porxnoxxx[.]site
• https://porxnoxxx[.]pw
• https://pornoxxxguru[.]space
• https://helpdesksupport072089339.servicedesk.atera[.]com/GetAgent/Msi/?customerId=1&integratorLogin=izunogg1017@gmail.com
• https://helpdesksupport350061558.servicedesk.atera[.]com/GetAgent/Msi/?customerId=1&integratorLogin=Ario.hi@rover.info
• https://clouds222[.]com
• https://teamworks455[.]com
• https://commandaadmin[.]com
• https://cmdadminu[.]com
• https://checksoftupdate[.]com
• https://datalystoy[.]com
• https://updatemsicheck[.]com

Últimos servidores de C&C do Zloader 

• https://asdfghdsajkl[.]com/gate.php
• https://lkjhgfgsdshja[.]com/gate.php
• https://kjdhsasghjds[.]com/gate.php
• https://kdjwhqejqwij[.]com/gate.php
• https://iasudjghnasd[.]com/gate.php
• https://daksjuggdhwa[.]com/gate.php
• https://dkisuaggdjhna[.]com/gate.php
• https://eiqwuggejqw[.]com/gate.php
• https://dquggwjhdmq[.]com/gate.php
• https://djshggadasj[.]com/gate.php

URLs usadas para download arbitrário de malware

• https://braves[.]fun/racoon.exe
• https://endoftheendi[.]com/12.exe

Domínios utilizados em recentes ataques de Webinjects do Zloader

• https://dotxvcnjlvdajkwerwoh[.]com
• https://aerulonoured[.]su
• https://rec.kindplanet[.]us

Técnicas de MITRE ATT&CK

Esta tabela foi criada utilizando a versão 10 da estrutura MITRE ATT&CK.