Een onderschat botnet dat al sinds 2006 bestaat is in werkelijkheid zeer succesvol en heeft de afgelopen 9 jaar meer dan 15 miljoen unieke slachtoffers gemaakt. Dat meldt het recent overgenomen beveiligingsbedrijf Fox-IT. Het gaat om het botnet genaamd Ponmocup, dat in 2006 nog als Vundo of Virtumonde bekend stond. Volgens de onderzoekers is het één van de succesvolste botnets van de afgelopen jaren.

Op het hoogtepunt in juli 2011 bestond het botnet uit 2,4 miljoen computers. Sindsdien is Ponmocup in omvang afgenomen, maar is nog altijd zo'n 500.000 machines sterk. Ondanks het succes zijn de botnetbeheerders erin geslaagd om onder de radar te blijven en het botnet niet op te laten vallen. Zo heeft het botnet weinig aandacht van beveiligingsonderzoekers en bedrijven gekregen en wordt het vaak als een laag risico aangeduid.

Detectie

Het succes van Ponmocup is volgens de onderzoekers door verschillende zaken te verklaren. Zo is het lastig voor traditionele virusscanners om te herkennen, omdat het per besmette computer een unieke encryptie gebruikt en de kernonderdelen per geïnfecteerd systeem op een unieke locatie bewaart. Verder gebruikt de malware ook eenmalig domeinen voor de installatie, waardoor ze niet zijn te gebruiken om infecties binnen organisaties te herkennen.

Het botnet ondersteunt ook de diefstal van inloggegevens voor FTP-servers en Facebook, waarmee de malware verder kan worden verspreid, zo stellen de onderzoekers. Sinds 2009 zouden meer dan 5.000 websites via gestolen FTP-wachtwoorden zijn gehackt en gebruikt voor het verspreiden van de malware. Voor de verspreiding van Ponmocup werden eerst malafide Adobe Flash Player-updates en video-codecs gebruikt.

Na een grootschalige operatie om het botnet in 2011 uit te schakelen besloten de beheerders zip-bestanden, JAR-bestanden en Java-applets te gebruiken. In tegenstelling tot veel andere botnets gebruikt Ponmocup geen exploits om internetgebruikers automatisch te infecteren. Het is dan ook via het slim gebruik van social engineering dat de malware zich weet te verspreiden, zo waarschuwen de onderzoekers.

Doel

Het doel van het botnet is waarschijnlijk financieel gewin. Zo bevat de malware een plug-in voor het plegen van advertentiefraude, kan het Bitcoin-wallets stelen en zoekt het naar financiële websites die gevoelige informatie bevatten. Het is echter lastig om het bedrag te bepalen dat Ponmocup de beheerders heeft opgeleverd, maar waarschijnlijk gaat het om vele miljoenen. Het onderzoek van Fox-IT (pdf) werd vandaag tijdens de Botconf 2015 conferentie in Parijs gepresenteerd.