微軟接管ZLoader殭屍網路的逾400個網域

微軟本周宣布，已聯手 ESET、Black Lotus Labs、Palo Alto Networks Unit 42及Avast等資安業者，以及全球的ISP業者，藉由取得法院的命令，接管了ZLoader殭屍網路所使用的65個網域，以及319個由Zloader集團所註冊的網域，將使此一由金融木馬程式起家，後發展成惡意程式即服務的殭屍網路暫時消聲匿跡。

ZLoader早在2007年就現身，最初只是個金融木馬程式，專門竊取受害者的登入憑證，或自使用者帳戶盜取金錢，但ZLoader作者日益改善該程式，開始提供惡意程式即軟體服務，而讓它成為Ryuk、DarkSide與BlackMatter等勒索軟體的散布管道。ZLoader的受害者遍布全球，其中又以美國、中國、歐洲與日本為最。

圖片來源／微軟

ZLoader的能力益發強大，在成功感染受害裝置之後，它能夠繞過熱門防毒軟體的偵測、捕獲螢幕截圖、蒐集電腦上的Cookie、竊取憑證與金融資料、執行偵察、啟動永久進駐機制、濫用合法安全工具，還能允許駭客自遠端存取。

微軟也公布了ZLoader的攻擊鏈，顯示駭客主要利用電子郵件與惡意廣告來感染受害者，這些電子郵件夾帶著惡意的微軟Office、PDF與ZIP文件，惡意廣告中則含有連結，都是為了將使用者導向由駭客所掌控的網站，並下載惡意程式。

圖片來源／微軟

不知情的使用者安裝了惡意程式之外，ZLoader便會企圖載入各種模組以進一步展開攻擊，包括螢幕捕獲工具、Cookie蒐集工具、銀行密碼竊取工具，以及VNC存取功能等，它還能針對IE、Firefox、Chrome與Microsoft Edge等瀏覽器執行中間人攻擊，竄改使用者於網頁上所看到的內容，並竊取受害者所輸入的憑證。

圖片來源／微軟

在微軟所接管的網域中，有65個是內建於ZLoader中的C&C網域，但ZLoader還具備一個網域產生演算法（Domain Generation Algorithm，DGA），可產生319個網域，以作為該惡意程式的備份通訊網站，同樣也在法院同意下遭到封鎖。

微軟表示，此次的行動是為了關閉ZLoader的基礎設施，以讓此一犯罪集團更難展開行動，即使這些駭客依然還會想辦法恢復營運，但執法機構、微軟與其合作夥伴將會持續密切監視相關的犯罪活動並採取行動。