De beruchtste phishingbende op het internet, die sinds 2004 al tientallen miljoenen euro's van bankrekeningen plunderde, heeft de infrastructuur van een upgrade voorzien. Onderzoekers van RSA ontdekten dat de bende het Asprox-botnet gebruikt. Dit botnet is verantwoordelijk voor het infecteren van miljoenen websites via SQL-injectie met iframes en exploits. De overstap naar een fast-flux botnet, dat één domeinnaam aan meerdere, snel wisselende IP-adressen koppelt, zou al sinds begin april gaande zijn. Het gebruik van fast-flux maakt het oprollen van phishingsites een stuk lastiger, die daardoor soms 50 dagen langer online zijn.

De Rock Phish bende voorzag toen de phishingsites die het hoste van exploits, om zo mensen die niets achterlieten toch te infecteren. De gebruikte Zeus crimeware toolkit bleek niet te voldoen, want die werd al gauw door eigen botnet clients vervangen. "Een mijlpaal in de recente crimeware ontwikkelingen van de Rock Phish bende," stelt RSA. Het botnet fungeerde eerst als SOCKS proxy server, die de criminelen in staat stelde om de internetverbinding van hun geïnfecteerde slachtoffers te gebruiken. Rock Phish wist hierdoor ook allerlei informatie van de besmette machines te halen, zoals welke virusscanner men gebruikte. Zeker in het begin werd het botnet nauwelijks door virusscanners herkend.

Evolutie

"Het werd duidelijk dat er iets groots aan de hand was. Als een georganiseerde misdaadbende zoals Rock Phish zulke enorme aanpassingen aan de infastructuur en aanvalsmethoden maakt, door het introduceren van een zelf ontwikkelde botnet client en crimeware, is dit geen teken dat men van plan is om te stoppen. Het tegenovergestelde juist."

Aan de andere kant zat Asprox ook niet stil. Het botnet begon geschikte zombies te selecteren aan de hand van een betrouwbare internetverbinding en gebruikte die als content proxies voor verdere besmettingen of het hosten van phishingaanvallen. Vandaag de dag host Asprox websites voor het infecteren van internetgebruikers, phishingaanvallen en het rekruteren van katvangers. "Asprox is continu op zoek naar nieuwe kwetsbare websites om die met kwaadaardige iframes te injecteren en zo te blijven groeien." Asprox kwam laatst in het nieuws omdat het grapjassen die niet de juiste gegevens invoeren met browser-exploits straft.