A Microsoft e a Avast se uniram para derrubar a botnet Zloader, que foi usada para disseminar outros malwares, capazes de keylogging, capturas de tela, roubo de arquivos e até dinheiro de carteiras de criptomoedas. O esforço investigativo por trás da ação que interrompeu a botnet ZLoader foi liderado pela Unidade de Crimes Digitais (DCU) da Microsoft com o apoio da Avast.
Segundo a fornecedora de antivírus, após ser baixado e ativado, o Zloader entrava em contato com vários servidores de comando e controle (C&C) e lançava o módulo Downloader para baixar, instalar e executar o próximo módulo: o Backdoor.
Este, por sua vez, era muito mais complexo e responsável pelo processo de acesso remoto, injeção de código malicioso nos navegadores, captura da tela (screenshot) e das senhas digitadas (keylogging). Ele também roubava os dados de login (cookies) dos navegadores Chrome, Firefox e Edge, informações das contas de e-mail do Microsoft Outlook e arquivos de carteiras de moedas digitais (Exodus, Zcash e Bitcoin-Qt).
De acordo com os pesquisadores do Laboratório de Ameaças da Avast, algumas das assinaturas digitais são as mesmas de outra família de malwares – a Ursnif, também conhecida como Gozi ou ISFB – e compartilham vários dos mesmos servidores. Já os alvos eram funcionários e empresas financeiras como bancos, corretoras, seguradoras, serviços de pagamento, serviços relacionados a criptomoedas (Electrum e Ethereum).
