Trojan verbergt zijn hersens in Google Discussiegroepen

Virus schrijvers worden steeds geniepiger. In een poging om detectie te ontduiken, zijn ze begonnen hun commando- en besturingsinstructies te verbergen in legitieme Web 2.0-sites zoals Google Discussiegroepen en Twitter.

Onlangs heeft beveiligingsleverancier Symantec een Trojaans paardprogramma gezien dat is geprogrammeerd om een ​​privé-Google te bezoeken Groepsnieuwsgroep, genaamd escape2sun, waar het versleutelde instructies of zelfs software-updates kan downloaden.

Deze "command and control" -instructies worden door criminelen gebruikt om contact te houden met gehackte pc's en om hun schadelijke software bij te werken. Onderzoekers hebben ook gezien dat criminelen hun berichten verbergen in RSS-feeds die zijn opgezet om Twitter-berichten uit te zenden, zei Gerry Egan, een directeur met Symantec Security Response. "We zien een trend in het gebruik van meer mainstream interacties van sociale media-type om commando en controle te verbergen", zei hij.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Het Google Groups-systeem verschijnt om een ​​prototype te zijn, maar Egan verwacht dat de slechteriken in toenemende mate sociale-mediasites gebruiken voor dit doel, omdat beveiligingssoftware effectiever wordt in het uitroeien van traditionele commando- en controlemechanismen. "Malware-auteurs zeggen nu dat ze op onze [onze] technieken zijn, laten we iets anders proberen", zei Egan.

Vandaag communiceren de meeste criminelen met de machines die ze hebben gehackt via IRC (Internet Relay Chat) servers, of door opdrachten te plaatsen op ondoorzichtige, moeilijk te vinden websites. Naarmate systeembeheerders beter worden in het herkennen en blokkeren van deze communicatie, proberen de slechteriken deze commando- en besturingsberichten te verbergen in legitiem verkeer, zodat de aanwezigheid van het verkeer op zichzelf geen rode vlag oproept, "Egan zei.

Een systeembeheerder kan de toegang tot IRC vrij eenvoudig blokkeren, maar het blokkeren van Twitter of Google is een andere zaak.

Het Trojaanse paard van Google Discussiegroepen lijkt van Taiwanese oorsprong te zijn en werd waarschijnlijk gebruikt om stilletjes informatie te verzamelen voor toekomstige aanvallen. Volgens de gegevens in Google Discussiegroepen heeft het Trojaanse paard zich niet wijd verspreid sinds het in november 2008 is gemaakt. "Zo'n Trojan kan mogelijk zijn ontwikkeld voor gerichte bedrijfsspionage waar anonimiteit en discretie prioriteiten zijn," zei Symantec in een blogpost van vrijdag.