A Avast apoiou a queda da botnet Zloader, que foi usada para disseminar outros malwares, capazes de keylogging, capturas de tela, roubo de arquivos e dinheiro de carteiras de criptomoedas. O esforço investigativo por trás da ação que interrompeu a botnet ZLoader foi liderado pela Unidade de Crimes Digitais (DCU) da Microsoft, com a Avast apoiando a DCU da Microsoft na Europa.
Após ser baixado e ativado, o Zloader entrou em contato com vários servidores de comando e controle (C&C) e lançou o módulo Downloader para baixar, instalar e executar o próximo módulo: o Backdoor.
Este, por sua vez, era muito mais complexo e responsável pelo processo de acesso remoto, injeção de código malicioso nos navegadores, captura da tela (screenshot) e das senhas digitadas (keylogging). Ele também roubava os dados de login (cookies) dos navegadores Chrome, Firefox e Edge, informações das contas de e-mail do Microsoft Outlook e arquivos de carteiras de moedas digitais (Exodus, Zcash e Bitcoin-Qt).
De acordo com os pesquisadores do Laboratório de Ameaças da Avast, algumas das assinaturas digitais são as mesmas de outra família de malwares – a Ursnif, também conhecida como Gozi ou ISFB – e compartilham vários dos mesmos servidores.
“Os alvos eram funcionários e empresas financeiras como bancos, corretoras, seguradoras, serviços de pagamento, serviços relacionados a criptomoedas (Electrum e Ethereum)”, diz Vladimir Martyanov, pesquisador de Malware da Avast. “Recomendamos que os usuários mantenham o seu antivírus sempre ativo, para bloquear automaticamente e em tempo real esses tipos de ataques”, completa.
