ESET Ambil Bagian dalam Operasi Penumpasan Botnet Zloader

Peneliti dari Microsoft, ESET dan beberapa vendor keamanan lain telah menenggelamkan 65 domain yang terkait dengan botnet Zloader yang sangat produktif dalam mendistribusikan malware.

319 domain cadangan lainnya yang dihasilkan Zloader melalui Domain Generation Algorithm (DGA) telah disita sebagai bagian dari operasi bersama, Microsoft beserta ESET dan beberapa vendor keamanan lain.

Tujuannya adalah untuk menonaktifkan infrastruktur yang digunakan geng kriminal di balik botnet Zloader yang selama ini menjadi layanan dari operasi distribusi malware terhadap serangan di dunia maya.

Kemungkinan operator botnet akan mencoba untuk menghidupkan kembali operasi mereka, sehingga Microsoft, ESET dan entitas lain yang terlibat dalam penghapusan akan terus bekerja dengan satu sama lain dan dengan penyedia layanan Internet untuk memantau dan mengidentifikasi aktivitas lebih lanjut dengan grup.

Kemampuan Zloader

Zloader pertama kali muncul di radar vendor keamanan pada November 2019 saat menyebarkan malware perbankan yang dikenal sebagai trojan perbankan Zeus yang terkenal sangat berbahaya. Malware yang dijual di forum bawah tanah dengan nama “Silent Night” dirancang untuk mencuri data yang terkait dengan rekening bank online, seperti ID login akun dan kata sandi.

ESET dan para penelitinya telah mengamati bahwa kelompok kriminal ini menggunakan berbagai cara untuk mendistribusikan Zloader, termasuk melalui exploit kit seperti RIG, email phising bertema COVID-19, situs dewasa, dan penyalahgunaan Google Ads.

Malware dirancang untuk melakukan berbagai tindakan berbahaya setelah diinstal pada sistem. Seperti misalnya mencuri data dari browser, mencuri dompet cryptocurrency, mencatat penekanan tombol, mengaktifkan remote control, dan mendukung eksekusi perintah.

Salah satu fitur malware memiliki kemampuan untuk membuat profil di jaringan dan host yang disusupi, memungkinkan pelaku ancaman untuk mendistribusikan muatan berbahaya yang berbeda ke sistem yang terinfeksi. Ini mencakup berbagai keluarga ransomware seperti DarkSide dan Ryuk, keduanya telah dikaitkan dengan banyak serangan profil tinggi selama dua tahun terakhir ini.

Menyingkirkan Zloader

Unit kejahatan digital Microsoft bersama ESET dan beberapa vendor keamanan lain berinisiatif untuk meruntuhkan infrastruktur Zloader. Semua ini dapat dilakukan setelah memperoleh perintah pengadilan dari Pengadilan Distrik AS untuk Distrik Utara Georgia yang mengizinkan peneliti keamanan Microsoft untuk mengendalikan 65 domain terkait Zloader dan mengarahkan lalu lintas ke situs-situs ini agar tidak lagi mengganggu.

Operasi seperti ini membutuhkan banyak koordinasi, berbagi informasi, dan validasi antar mitra, kata Alexis Dorais-Joncas, ketua tim intelijen keamanan di ESET. “Selain tantangan teknis, bergabung dalam kelompok untuk bekerja sama dalam operasi semacam ini membutuhkan kepercayaan yang besar,” katanya.

Agar berhasil, perusahaan yang bermitra satu sama lain dalam upaya tersebut harus bersedia untuk berbagi informasi secara bebas dengan yang lain. “Kami harus tahu bahwa kami dapat memercayai setiap mitra untuk melakukan hal yang benar dan tidak menyalahgunakan informasi apa pun untuk keuntungan mereka sendiri,” kata Dorais-Joncas.

Di sisi operasional, tantangan dengan platform seperti Zloader adalah mereka mengizinkan afiliasi untuk membuat botnet independen mereka sendiri. Jadi, untuk menghentikannya berarti harus dapat memetakan semua botnet aktif yang terkait dengan malware, mengidentifikasi infrastruktur di balik masing-masing botnet ini, dan sekaligus memantau kemunculan botnet baru.

Untuk melakukan ini, ESET menggunakan teknologi keamanan titik akhirnya untuk secara otomatis mengelompokkan sampel Zloader baru dan mengekstrak informasi perintah dan kontrol dari mereka untuk memungkinkan tampilan real time dari semua botnet Zloader aktif dan infrastruktur jaringan terkait.

Data ESET digabungkan dengan data dari vendor lain yang terlibat dalam operasi penghapusan Zloader sehingga grup tersebut dapat menyusun daftar lengkap semua domain berbahaya dan alamat IP yang digunakan untuk mengontrol botnet berbasis Zloader.

Dampaknya Operasi

Operasi botnet Zloader adalah salah satu dari banyak operasi dalam beberapa tahun terakhir di mana vendor keamanan telah berhasil bermitra satu sama lain untuk menghapus operasi ancaman yang sangat berbahaya. Dalam banyak kasus, pencopotan berdampak langsung pada aktivitas yang ditargetkan tetapi gagal menghentikannya sepenuhnya, Trickbot adalah salah satu contoh yang patut diperhatikan.

Satu masalah adalah bahwa beberapa operator ancaman membuat beberapa versi botnet untuk meningkatkan ketahanannya agar tidak mudah ditumbangkan.

Penghapusan Zloader misalnya, melibatkan tiga botnet terpisah, yang masing-masing telah disiapkan menggunakan versi malware yang berbeda. Teknologi seperti DGA juga memungkinkan pelaku ancaman untuk mengembangkan malware yang mampu secara otomatis menghasilkan banyak domain cadangan jika terjadi sesuatu pada domain utama mereka. DGA Zloader memungkinkan malware untuk menghasilkan 32 domain baru per hari per botnet.