Trojan korzysta z narzędzia Microsoftu

Specjaliści z firmy SecureWorks poinformowali o wykryciu nowej, niezwykle skutecznej odmiany pewnego konia trojańskiego, infekującego systemy Windows. Coreflood Trojan jest o tyle nietypowy, że po zainfekowaniu pierwszego komputera w lokalnej sieci kolejne atakuje wykorzystując narzędzie administracyjne Microsoftu.

Z danych przedstawionych przez SecureWorks wynika, że "szkodnik" zdołał już zainfekować setki tysięcy komputerów na całym świecie - w tym przynajmniej 14 tys. maszyn należących do pewnej globalnej sieci hoteli (nazwy firmy nie podano). Autor (lub autorzy) trojana wykazali się sporą pomysłowością - program napisano tak, by skutecznie atakował komputery pracujące w tej samej sieci.

Mechanizm ataku zwykle jest następujący: autor trojana znajduje sposób, by zainfekować nim 1 komputer pracujący w wybranej sieci (np. w firmie czy na uczelni). Najczęściej stosuje w tym celu jakąś prostą sztuczkę socjotechniczną lub też wykorzystuje lukę w programie pocztowym lub przeglądarce użytkownika owej sieci. Po zarażeniu pierwszego komputera Coreflood czeka, aż do maszyny tej podłączy się firmowy administrator (np. w celu zainstalowania poprawek czy przeprowadzenia jakichś rutynowych testów). Jeśli okaże się, że administrator używa do tego microsoftowego narzędzia o nazwie PsExec, trojan wykorzystuje je do infekowania innych komputerów w tej samej sieci.

Przedstawiciele SecureWorks mówią, że różne wersje Coreflood są aktywne w sieci już od co najmniej kilku lat - ale ostatnio trojan stał się bardzo aktywny; tylko w ostatnich 16 miesiącach zainfekował co najmniej 378 tys. komputerów na całym świecie. Program wykorzystywany jest przez przestępców do wykradania poufnych danych z zarażonych komputerów - np. numerów kart kredytowych czy danych niezbędnych do logowania się do e-banków. Wśród jego ofiar są m.in. pracownicy szpitali, kancelarii prawnych, a nawet amerykańskich instytucji rządowych.

Mark Russinovich z Microsoftu - autor PsExec - mówi, że jego program już od kilku lat bywa wykorzystywany przez przestępców do atakowania internautów, jednak nigdy wcześniej nie robiono tego w tak pomysłowy sposób. Specjaliści z SecureWorks zwracają też uwagę, że w tym przypadku trojan jest wykorzystywany inaczej niż w przeszłości - do tej pory jednak zwykle wykorzystywanego go do ataków DDoS, a nie do kradzieży danych.


TOP 200