Pony Botnet, 2 milioni di password per Facebook, Twitter e altro ancora

Pony Botnet Controller, il software per gestire i botnet controlla imperi del cybercrimine - trovato un network con 2 milioni di credenziali di social media e peggio.

Pony Botnet Controller è il nome di un software il cui codice, a causa di un leak, è finito nelle mani dei ricercatori della sicurezza informatica di Trustwave SpiderLabs.

Nelle scorse giornate è stata trovata una “instance” di questo software che viene usato per controllare massicci botnet, ovverosia network di PC infetti da malware che di fatto sono controllati di remoto da cybercriminale e sfruttati ad insaputa del proprietario per scopi loschi. Questa instance, ovverosia un network definito e unitario, controllava i login di 2 milioni di siti web, caselle email, account FTP, RDP e SSH. Per essere precisi tali credenziali si riferivano a account di Facebook, Twitter, Google/Gmail, Yahoo, Linkedin e 8.000 password per i servizi di ADP, soluzione gestionale di stipendi e costi aziendali.

Cosa è successo


Pony è un’interfaccia di gestione dei botnet che consente di monitorare 24h su 24 le attività della singola vittima, alla ricerca di debolezze da cui evincere dati utili. Si possono gestire i dati rubati, accedere a log regolari, persino comporre statistiche con le informazioni raccolte.

La maniera con cui uno viene infettato dal malware che pone il PC sotto al controllo di Pony è sempre quella: un URL malevolo, un sito infetto, un click imprudente e soprattutto cattive password e software non aggiornato, di solito accomunato all’assenza di un antivirus (che comunque può fare poco se il sistema e le pratiche di sicurezza di un utente sono “un colabrodo”).

Questa instante di pony è probabilmente russa, e la cosa ci sorprende poco. Il server di controllo è gestito in modo molto sofisticato, e dovrebbe essere posizionato in Olanda. Il sistema con cui redirige il traffico impedisce di discernere l’origine del suo padrone e delle vittime: si può individuare il proxy che ne filtra il traffico e chiuderlo, ma rimpiazzarlo è facile.

Si deduce che l’hacker sia un russo perché c’è una preponderanza di credenziali di siti russi come il popolare social media Odnoklassniki.

Password deboli


Si tratta di pessime notizie: gli account di Facebook sono abbastanza gravi. Controllandoli è possibile raccogliere informazioni su un utente e colpire tutti i suoi amici in modo indiretto. Lo stesso vale per Twitter e Linkedin.

Gli account di Google e Yahoo aprono la strada alle email, che rappresentano il perno della vita online della maggior parte degli individui. Perdere il controllo delle mail significa mettere in pericolo anche i propri dati bancari, in molti casi.

Ancora più gravi sono le password ADP. Qui il danno monetario potrebbe essere immediato e le ripercussioni terribili.

Queste password rubate erano conservate in chiaro sul server del botnet. E per la cronaca facevano davvero schifo: la maggior parte era con un solo tipo di carattere, con le mitiche “123456”, “111111”, “Password”, e “Admin” in cima alla lista di popolarità.

  • shares
  • Mail