Een groot botnet is al sinds 2006 actief en heeft daarbij minimaal aandacht gekregen van beveiligingsbedrijven. Het Ponmocup-botnet heeft sindsdien meer dan 15 miljoen unieke infecties veroorzaakt en wordt gebruikt voor financieel gewin, claimt Fox-IT. Volgens het bedrijf is het botnet interessant omdat het geavanceerd en onderschat is. In 2006 werd het al ontdekt en toen van de namen Vundo of Virtumonde voorzien, maar sinds die tijd ebde de aandacht weg...

...Fox-IT concludeert dat de beheerders Russen zijn, op basis van Russische instructies van de beheerders naar zakelijke partners. Aanvankelijk lag de infectieratio bij landen als Rusland, Oekraïne en Wit-Rusland ook lager. De beheerders gebruiken het botnet waarschijnlijk voor financieel gewin. 

Sommige beheerders konden worden aangewezen als actieve deelnemers aan fora voor advertentiefraude. De inzet voor advertentiefraude blijkt uit een actief ontwikkelde plug-in voor het botnetframework met de naam ppc, wat voor pay-per-click staat. Daarnaast lijkt het framework vooral ingezet te worden tegen Engelstalige bank-, investerings- en handelssites om gevoelige informatie in handen te krijgen die gebruikt kan worden voor fraude. Ook zou met Ponmocup diefstal van bitcoins gepleegd worden.

In totaal heeft Fox-IT 25 plug-ins ontdekt, met namen als avkit, socks, proxy en fbcookie, die door het botnet gebruikt kunnen worden voor verschillende kwaadaardige activiteiten. In de loop der tijd zijn daarvan vierduizend verschillende versies ontwikkeld, wat een indicatie is dat het framework continu wordt bijgewerkt.

Alles bij de bron; Tweakers



Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha