Trojan Lurks, περιμένουν να κλέβουν κωδικούς πρόσβασης διαχειριστή

Έχουν καταφέρει να μολύνουν εκατοντάδες χιλιάδες υπολογιστές - συμπεριλαμβανομένων περισσότερων από 14.000 μέσα σε μια ανώνυμη παγκόσμια ξενοδοχειακή αλυσίδα - περιμένοντας οι διαχειριστές συστημάτων να συνδεθούν σε μολυσμένους υπολογιστές και στη συνέχεια να χρησιμοποιήσουν ένα εργαλείο διαχείρισης της Microsoft για να διαδώσουν το κακόβουλο λογισμικό τους σε όλο το δίκτυο.

Οι εγκληματίες πίσω από τον Trojan Coreflood χρησιμοποιούν το λογισμικό για να κλέψουν τα ονόματα χρηστών και τους κωδικούς πρόσβασης λογαριασμών τραπεζών και χρηματιστηριακών συναλλαγών. Έχουν συγκεντρώσει μια βάση δεδομένων των 50G με τις πληροφορίες αυτές από τις μηχανές που έχουν μολυνθεί, σύμφωνα με τον Joe Stewart, διευθυντή της έρευνας κακόβουλου λογισμικού με τον προμηθευτή ασφάλειας SecureWorks.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

«Μπορούν να εξαπλωθούν σε ολόκληρες επιχειρήσεις», είπε. "Επειδή η Microsoft έστειλε το λογισμικό Windows XP Service Pack 2 με τα κλειδωμένα χαρακτηριστικά ασφαλείας της, οι χάκερ έχουν δυσκολευθεί να βρουν τρόπους για να διαδώσουν κακόβουλο λογισμικό σε όλα τα εταιρικά δίκτυα. Οι εκτεταμένες εκρήξεις σκουληκιών ή ιού σύντομα έπεσαν μετά την απελευθέρωση του λογισμικού τον Αύγουστο του 2004.

Ωστόσο, οι χάκερ του Coreflood ήταν επιτυχείς, χάρη εν μέρει σε ένα πρόγραμμα της Microsoft που ονομάζεται PsExec, το οποίο γράφτηκε για να βοηθήσει τους διαχειριστές συστημάτων να τρέξουν νόμιμο λογισμικό σε υπολογιστές

Για μια ευρέως διαδεδομένη μόλυνση, οι επιτιθέμενοι πρέπει πρώτα να θέσουν σε κίνδυνο ένα σύστημα στο δίκτυο, εξαπατώντας το χρήστη να κατεβάσει το πρόγραμμά του. Στη συνέχεια, όταν ένας διαχειριστής συστήματος συνδέεται σε αυτό το επιτραπέζιο μηχάνημα - για παράδειγμα, το κακόβουλο λογισμικό προσπαθεί να εκτελέσει το PsExec και να εγκαταστήσει κακόβουλο λογισμικό σε όλα τα υπόλοιπα συστήματα του δικτύου

Συχνά επιτυγχάνεται η τεχνική

Κατά τη διάρκεια των τελευταίων 16 μηνών, οι συγγραφείς της Coreflood έχουν μολύνει περισσότερους από 378.000 υπολογιστές. Η SecureWorks έχει υπολογίσει χιλιάδες μολύνσεις σε πανεπιστημιακά δίκτυα και έχει βρει χρηματοπιστωτικές εταιρείες, νοσοκομεία, δικηγορικά γραφεία και ακόμη και μια κρατική αστυνομική υπηρεσία των ΗΠΑ που είχαν εκατοντάδες λοιμώξεις. "Είναι τρελός πόσο συχνά παίρνουν εκατοντάδες ή χιλιάδες υπολογιστές σε μία εταιρεία", δήλωσε ο Stewart. "Έχουν κλέψει πιθανώς πολύ περισσότερους λογαριασμούς από ό, τι μπορούν να χρησιμοποιήσουν."

Το SANS Internet Storm Center ανέφερε μία από τις μολύνσεις, που επηρέασε 600 μηχανές σε δίκτυο 3.000 υπολογιστών, στις 25 Ιουνίου.

PsExec για περισσότερα από πέντε χρόνια, δήλωσε ο δημιουργός του λογισμικού, Mark Russinovich, τεχνικός συνεργάτης της Microsoft. Ωστόσο, αυτή είναι η πρώτη φορά που είχε ακούσει ότι χρησιμοποιήθηκε με αυτόν τον τρόπο. "Το PsExec δεν εκθέτει τίποτα που ένας δημιουργός κακόβουλου λογισμικού δεν μπορεί να κωδικοποιήσει ή ακόμα και να επιτελέσει με εναλλακτικούς μηχανισμούς", ανέφερε σε μια συνέντευξη με ηλεκτρονικό ταχυδρομείο. "Μόλις έχετε διαπιστευτήρια που σας δίνουν τοπικά δικαιώματα διαχειριστή μέσω απομακρυσμένης πρόσβασης, είστε κύριος αυτού του συστήματος."

Το Coreflood, το οποίο είναι επίσης γνωστό ως Trojan AFcore, βρίσκεται εδώ και περίπου έξι χρόνια. Έχει χρησιμοποιηθεί στο παρελθόν για πράγματα όπως η έναρξη επιθέσεων άρνησης εξυπηρέτησης, αλλά όχι η απόκρυψη κωδικών πρόσβασης, δήλωσε ο Stewart