„Trustwave“ „SpiderLabs“ rado „Pony Botnet Controller“ serverį, kuriame yra daugiau nei du milijonai slaptažodžių ir paskyrų kredencialai, skirti ADP darbo užmokesčiui, „Facebook“, „Twitter“, „Yahoo“ ir kt., priklausančių aukoms visame pasaulyje pasaulis.
Nuo tada, kai buvo nutekintas „Pony Botnet Controller“ šaltinio kodas, „Trustwave“ „SpiderLabs“ su dideliu susižavėjimu seka žvėrį.
Susidomėjimas tapo apstulbintu nustebimu, kai tyrėjai atskleidė „Pony Botnet“ serverį, kuriame buvo išsaugota daugiau nei du milijonai paskyros kredencialų ir slaptažodžiai „Facebook“, „Yahoo“, „Google“, „Twitter“, „Linkedin“, „Odnoklassniki“ (antra pagal dydį Rusijos socialinio tinklo svetainė) ir kt.
Priešingai nei praneša kai kurios naujienų agentūros, „SpiderLabs“ teigė, kad aukų vietos yra pasaulinės (ne Nyderlanduose).
SpiderLabs paaiškino, kad jie negalėjo nurodyti tikslinės šalies, nes užpuolikas naudojo tarpinį serverį, esantį Nyderlandai sieks nukreipti srautą iš NL adreso (todėl atrodo, kad šalyje yra 1 049 879 aukos Nyderlandai).
Tyrėjai parašė Pažiūrėkite, ką radau: Moar Pony!,
(...) dauguma įrašų iš NL IP diapazono iš tikrųjų yra vienas IP adresas, kuris, atrodo, veikė kaip vartai arba atvirkštinis tarpinis serveris tarp užkrėstų mašinų ir komandų ir valdymo serverio, kuris taip pat yra Nyderlanduose.
Šią atvirkštinio tarpinio serverio naudojimo techniką dažniausiai naudoja užpuolikai, kad būtų išvengta komandų ir valdymo serverio aptikimo ir išjungti – iš užkrėsto kompiuterio išeinantis srautas rodo tik ryšį su tarpiniu serveriu, kuris lengvai pakeičiamas, jei jis būtų užblokuotas žemyn.
Nors toks elgesys pats savaime yra įdomus, jis neleidžia mums sužinoti daugiau apie šalis, į kurias buvo nukreipta ši ataka, jei tokių buvo.
Devintas populiariausias domenas, iš kurio buvo pavogti slaptažodžiai, buvo Automatic Data Processing, Inc. (ADP), kuri yra viena didžiausių darbo užmokesčio apskaitos paslaugų teikėjų daugumai „Fortune 500“ įmonių ir mažiausiai 620 000 verslo organizacijų visame pasaulyje.
Į Pažiūrėkite, ką radau: tai ponis! SpiderLabs SpiderLabs paaiškino,
Pagrindinis „Pony“ verslas tebėra vagystė: pavogti svetainių, el. pašto paskyrų, FTP paskyrų kredencialai ir viskas, kas tik pakliūva į rankas.
Tyrėjai „Pony Botnet Controller“ apibūdina kaip „ypač kruopštų“ botneto valdiklį, kuris „per kelias dienas“ nuo užsikrėtimo pavagia iš savo aukų šimtus tūkstančių kredencialų.
Birželio 30 d., kai atrado „Pony Botnet“, „SpiderLabs“ rado 650 000 pavogtų svetainės kredencialų, apie 90 000 „Facebook“ paskyrų, 25 000 „Yahoo“ paskyrų ir 20 000 „Google“ kredencialų sąskaitas.
„SpiderLabs“ rašė, kad šios savaitės „Pony Botnet Controller“ atradimas nebuvo netikėtas, kaip buvo anksčiau, o buvo pastovi ir nuolatinė „pajamų“ pristatymo sistema.
SpiderLabs surinko:
~1,580,000 pavogti prisijungimo prie svetainės kredencialai
~320,000 pašto paskyros kredencialai pavogti
~41,000 Pavogti FTP paskyros kredencialai
~3,000 Pavogti nuotolinio darbalaukio kredencialai
~3,000 Pavogti saugios „Shell“ paskyros kredencialai
Teminiai
- Apple Mac Studio M2 Ultra apžvalga: tai naujas pavyzdinis Mac darbalaukis
- 4 dalykai, kuriuos gali padaryti Claude AI, kurių negali padaryti ChatGPT
- Išbandau šimtus išmaniųjų laikrodžių, bet šis buvo ant mano riešo visus metus
- Geriausi elektriniai atsuktuvai: „pasidaryk pats“ ir remonto darbus atlikite per pusę trumpesnio laiko
PONY Bonet yra labai galinga šnipinėjimo/keylogger kenkėjiška programa, turinti – kaip galite numanyti – gana pavojingų funkcijų. Jis fiksuoja slaptus vartotojo duomenis iš visų rūšių programų.
Pažymėtina, kad Trojos arklys atpažįsta Chrome, Firefox, Opera, Internet Explorer, CyberDuck (ir daugybę FTP programų), Dreamweaver, Windows Mail, Outlook, Rockmelt ir kt.
Įdomus faktas: „Pony Botnet Controller“ piktograma nėra nė vienas iš „My Little Pony“ personažų, kaip kai kurie galėjo manyti – tai yra „Candy Corn Foal“ iš „Zynga“ Facebook žaidimo „Farmville“.