微軟今天宣布近日搗毀了一個名為 ZLoader 的主要犯罪殭屍網絡,這也是使用 XLM 宏作為攻擊面的殭屍網絡之一。微軟的最新行動包括技術和法律活動,以破壞利用 ZLoader 作為惡意軟件即服務(malware-as-a-service)的犯罪集團的運作。
在本次搗毀行動中,微軟還鎖定了一位開發 Zloader 用來分發勒索軟件的犯罪分子。他是生活在 Crimean Peninsula Simferopol 的丹尼斯·馬利科夫(Denis Malikov)。這一身份在微軟的調查中被披露,該公司認為公開披露這一身份將向其他犯罪分子發出一個明確的信息,即他們不能躲在數字匿名的面具後面。
微軟還爭取到了一項法院命令,以控制犯罪團伙用來發展其殭屍網絡的65個域名。該殭屍網絡通常由屬於全球醫院、學校、家庭和企業的受感染電腦組成。
這些域名現在被引導到微軟的一個天坑,在那裡它們不能再被殭屍網絡的犯罪操作者使用。Zloader包含一個嵌入在惡意軟件中的域名生成算法(DGA),它創建了額外的域名作為殭屍網絡的後備或備用通信渠道。除了硬編碼的域名外,法院命令允許我們控制另外319個目前註冊的DGA域名。我們還在努力阻止DGA域名的未來註冊。
微軟數字犯罪部門(DCU)總經理艾米-霍根-伯尼說,ZLoader的最初目標是金融和憑證盜竊。然而,現在它還出售惡意軟件即服務,以分發Ryuk等勒索軟件,該軟件針對醫療機構。