Laatste nieuws

Niet alleen het grote aantal berichten geplaatst door keyloggers (programma dat alle toetsaanslagen registreert zonder medeweten van de gebruiker) op Pastebin is alarmerend, ook hun inhoud is verontrustend: in plaats van de verwachte open-source code, vindt men er Facebook en Instant Messaging paswoorden, net als gedetailleerde informatie over de navigatiehistoriek van nietsvermoedende gebruikers.

Gezien de kwantiteit van de geopenbaarde gegevens kan men een manuele online posting als hypothese elimineren. Bij nadere beschouwing blijkt dat het hier een massale besmetting van keyloggers betreft.


Waarom Pastebin.com gebruiken als repository log?

Over het algemeen, maken keyloggers gebruik van meer klassieke benaderingen als het aankomt op overdrachten: ze versturen bundels data via e-mail of FTP, wat aanzienlijk het risico vergroot dat hun identiteit achterhaald wordt door de autoriteiten.

Meer nog, de overdracht via e-mail is bijzonder weinig discreet: het is namelijk makkelijk voor een systeembeheerder om het verkeer op te sporen. Dan hebben we het nog niet over het feit dat antimalwaresoftware gebruikers er regelmatig over informeert dat een e-mail hun systeem verlaat. Andere keren worden de e-mailpoorten (meestal de poorten 25, 465 en 578) beveiligd of geblokkeerd, wat de overdacht van gegevens door de keylogger in de weg staat.

Dat is waarom deze bepaalde keylogger � gepersonaliseerde � tactieken gebruikt zoals het deponeren van gegevens op een openbare website. Het gebruik van Pastebin omzeilt in dit geval namelijk het geblokkeerd worden door een firewall, het nalaten van sporen en geeft geen oorspronkelijk IP adres aan waardoor de identiteit van de aanvaller verhuld blijft.

Pastebin is een gigantisch platform dat miljoenen codelijnen publiceert als plain text. In tegenstelling tot forums of sociale netwerken, zal de gepubliceerde tekst waarschijnlijk niet gezien worden door andere gebruikers, tenzij deze hier echt naar op zoek gaan. Door op gerichte wijze te zoeken, zal de aanvaller zonder twijfel de relevante logs verkrijgen in het browservenster.

Niet alleen worden de ID�s en paswoorden van het slachtoffer gestolen via de keylogger, maar worden de op deze manier verzamelde data openbaar gemaakt voor alle internetgebruikers. Erger nog, alles wat op die manier online gepost werd, blijft voor altijd toegankelijk � zelfs wanneer de betreffende pagina�s verwijderd worden (dat is het nadeel van caching van gegevens) � waardoor andere malafide personen deze informatie opnieuw kunnen vinden en misbruiken.

Een analyse van de underground forums die gebruikt worden door ontwikkelaars van malware onthult een royale hoeveelheid broncodes die ge�ntegreerd kunnen worden in deze nieuwe generatie van keyloggers. Dit maakt deze situatie veel alarmerender dan een mini-epidemie die veroorzaakt wordt door de opkomst van ��n enkele malware. Het kondigt namelijk het begin aan van een nieuwe manier van misbruik van gekende openbare diensten, net zoals het geval was bij de botnets die via Twitter gecontroleerd worden.


Extra informatie

Het lijkt erop dat ��n van de keyloggers die Pastebin gebruikt om anoniem te kunnen blijven, reeds lang genoeg bestaat om verantwoordelijk te zijn voor de meeste postings. Deze werd door BitDefender ge�dentificeerd als Trojan.Keylogger.PBin.A en is een console application die gebruik maakt van de API (application programming interface) van Pastebin om de onderschepte toetsaanslagen op willekeurige tijdstippen te versturen.

Voor meer informatie over de producten van BitDefender kunt u de site http://www.bitdefender.com/nl/ raadplegen en om BitDefender online terug te vinden en op de hoogte te blijven van het nieuws op het gebied van e-bedreigingen:

� RSS-feeds
� De gebruikersgroep Malwarecity