image

Spambot gebruikt duizenden gehackte sites als postbode

vrijdag 2 augustus 2013, 15:38 door Redactie, 0 reacties

Er is een nieuwe spambot ontdekt die duizenden gehackte websites gebruikt om spam te versturen, waaronder ook tientallen Nederlandse sites. De malware wordt door de meeste anti-virusbedrijven Rodecap genoemd en werd op 23 juli voor het eerst ontdekt. Spambots zijn vrij gewoon, maar volgens onderzoeker Roman Huessy valt Rodecap vanwege verschillende eigenschappen op.

Ten eerste omdat het www.google.com gebruikt om vanaf besmette computers met de Command & Control (C&C)-server te communiceren. Om het adres van de C&C-server te vinden gebruikt de malware de DNS-gegevens van een ander domein.

Spam
In tegenstelling tot andere spambots die gestolen SMTP-gegevens gebruiken om spam te versturen, de mailserver van besmette internetgebruikers gebruiken of open SMTP-relays misbruiken, past Rodecap een andere methode toe. De malware gebruikt een gigantische lijst van websites die met een PHP-backdoor gecompromitteerd zijn.

In een uur tijd wist Huessy meer dan 3500 websites te vinden die een verouderd content management systeem zoals Joomla! draaiden en waar de aanvallers het backdoor-script hadden geplaatst, waarmee ze de webserver waar de website op draait kunnen gebruiken om spam te versturen.

Nederlandse websites
In veel gevallen beschikken webservers over meer rekenkracht en bandbreedte en zijn daardoor interessant voor spammers. In de lijst staan ook 45 domeinen die op .NL eindigen.

Volgens Huessy hebben de makers van de spambot voor een goede tactiek gekozen, aangezien er tienduizenden websites zijn die verouderde CMS-software draaien. "Hierdoor vermijden de criminelen ook gewone blacklists, met name blacklists die dynamische IP-spaces van eindgebruikers bevatten (DSL/kabelabonnees) zoals Spamhaus PBL of SORBS DUL."

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.