Botnet-probe verhoogt 70 GB bytes van persoonlijke, financiële gegevens

Het botnet, beter bekend als Torpig of Sinowal, is een van de meer geavanceerde netwerken die moeilijk te detecteren kwaadaardige software gebruiken om computers te infecteren en vervolgens gegevens te verzamelen zoals e-mailwachtwoorden en online bankreferenties.

De onderzoekers waren in staat om meer dan 180.000 gehackte computers te monitoren door misbruik te maken van een zwakheid binnen het command-and-control-netwerk dat door de hackers wordt gebruikt om de computers te besturen. Het werkte echter maar 10 dagen totdat de hackers de opdracht-en-besturingsinstructies hadden bijgewerkt, volgens het 13 pagina's tellende document van de onderzoekers.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Toch was dat genoeg om de dataverzamelingskracht van Torpig / Sinowal te zien. In die korte tijd werden ongeveer 70G bytes aan gegevens verzameld van gehackte computers.

De onderzoekers hebben de gegevens opgeslagen en werken samen met wetshandhavingsinstanties zoals het Amerikaanse Federal Bureau of Investigation, ISP's en zelfs het Amerikaanse ministerie van Defensie om op de hoogte te stellen slachtoffers. ISP's hebben ook een aantal websites afgesloten die werden gebruikt om nieuwe opdrachten aan de gehackte machines te leveren, zo schreven ze.

Torpig / Sinowal kan gebruikersnamen en wachtwoorden van e-mailclients zoals Outlook, Thunderbird en Eudora wegnemen terwijl ze ook verzamelen e-mailadressen in die programma's voor gebruik door spammers. Het kan ook wachtwoorden van webbrowsers verzamelen.

Torpig / Sinowal kan een pc infecteren als een computer een kwaadwillende website bezoekt die is ontworpen om te testen of de computer niet-gepatchte software heeft, een techniek die bekend staat als een drive-by downloadaanval. Als de computer kwetsbaar is, wordt een laag niveau schadelijke software, rootkit genaamd, diep in het systeem gegooid.

De onderzoekers ontdekten dat Torpig / Sinowal op een systeem terechtkomt nadat het voor het eerst is geïnfecteerd door Mebroot, een rootkit dat verscheen rond december 2007.

Mebroot infecteert de Master Boot Record (MBR) van een computer, de eerste code waarnaar een computer zoekt bij het opstarten van het besturingssysteem nadat het BIOS is uitgevoerd. Mebroot is krachtig omdat gegevens die de computer verlaten, kunnen worden onderschept.

Mebroot kan ook andere code downloaden naar de computer.

Torpig / Sinowal is aangepast om gegevens te verzamelen wanneer een persoon bepaalde online bankieren en andere websites bezoekt. Het is gecodeerd om te reageren op meer dan 300 websites, met als topdoel PayPal, Poste Italiane, Capital One, E-Trade en Chase Bank, aldus de krant.

Als een persoon naar een bankwebsite gaat, een vervalst formulier wordt afgeleverd dat lijkt deel uit te maken van de legitieme site, maar vraagt ​​om een ​​gegevensbereik dat een bank normaal niet zou vragen, zoals een pincode (persoonlijk identificatienummer) of een creditcardnummer.

Websites die gebruikmaken van SSL-codering (Secure Sockets Layer) is niet veilig als deze wordt gebruikt door een pc met Torpig / Sinowal, omdat de schadelijke software informatie zal ophalen voordat deze wordt gecodeerd, schrijven de onderzoekers.

Hackers verkopen meestal wachtwoorden en bankgegevens op ondergrondse forums andere criminelen, die proberen de gegevens in contanten te verbergen. Hoewel het moeilijk is om de waarde van de verzamelde informatie over de 10 dagen nauwkeurig in te schatten, zou het de moeite waard kunnen zijn om tussen de US $ 83.000 en $ 8.3 miljoen te verdienen.

Er zijn manieren om botnets zoals Torpig / Sinowal te ontwrichten. De botnetcode bevat een algoritme dat domeinnamen genereert waarop de malware een beroep doet voor nieuwe instructies.

Beveiligingstechnici zijn vaak in staat geweest die algoritmen te achterhalen om te voorspellen op welke domeinen de malware een beroep zal doen en die domeinen vooraf te registreren om de malware te verstoren. botnet. Het is echter een duur proces. De Conficker-worm kan bijvoorbeeld tot 50.000 domeinnamen per dag genereren.

Registrars, bedrijven die domeinnaamregistraties verkopen, zouden een grotere rol moeten spelen in de samenwerking met de beveiligingsgemeenschap, schreven de onderzoekers. Maar registrars hebben hun eigen problemen.

"Op enkele uitzonderingen na missen ze vaak de middelen, incentives of cultuur om beveiligingsproblemen in verband met hun rollen aan te pakken," aldus de krant.