Botnät omgjort för att kunna sprida maskar och annat malware.
Botnätet Asprox har tidigare mest användts för phishing. De senaste dagarna har det byggts om för att infektera webbsidor och därifrån smitta besökare.
Ett botnät som tidigare mest använts för phishing har börjat infektera webbsidor. Den nya versionen av de små program som utgör klienterna i botnätet Asprox har utrustats med funktionen att leta efter sårbara webbsidor skrivna i Active Server Pages, ASP. När det skadliga programmet hittar en sån sårbar ASP-installation lägger det in en attack-kod i ASP-sidan som försöker smitta webbsidans besökare genom en SQL-injektion.
Den senaste månaden har en liknande attack med trojaner som stjäl lösenord till online-spel infekterat cirka en halv miljon Windowsdatorer. Den attacken ska enligt en talesman för IT-säkerhetsföretaget Secure Works ha kommit från hackare i Kina. Samma talesman, Joe Stewart, säger att den attack som nu sker via botnätet Asprox ser ut som ett sätt att härma attacken som infekterat en halv miljon datorer. Det är dock första gången han sett ett botnät användas för att sprida en SQL-baserad attack. Han tror också att den kommer från Östeuropa.
Själva attacken på webbplatsen sker genom att lägga in en iFrame i sidans kod coh sen smitta besökare med ett skadligt Javascript från domänen "direct84.com". I går hade Asprox infekterat över tusen webbplatser på det sättet, enligt nyhetstjänsten Dark Reading.
Asprox använder också attacken för att rekrytera nya botar till nätverket. Idagsläget består det av cirka 15 000 smittade datorer. Det skickar också ut "scare ware" det vill säga att det varnar för att datorn är smittad och uppmanar användaren att köpa ett program som tar bort smittan. Enligt Stewart är det inte klart vad det är i programmet som användaren köper, det hanteras av ett partner-företag till Asprox. Däremot ger det Asprox-ägaren lite extra pengar och kreditikortsnumret till folk som går att lura på det sättet.
Enligt Virus Total är det idag bara ett fåtal antivirusprogram som upptäcker den typ av attack som Asprox använder.
Inlägg
Skicka en kommentar