Ботнет Torpig захватили для исследований Налаштування

[Rilian]

Исследователи из Университета Калифорнии опубликовали результаты анализа взломанного ботнета Torpig, управление над которым удалось перехватить не так давно (PDF). К сожалению, через десять дней клиентские модули обновились и связь с ними была потеряна. Однако, собранная даже за это время информации позволяет подробно изучить, как работают ботнеты и насколько они эффективны. За данный период через ботнет прошло 70 ГБ информации: это заполняемые формы в браузере, почтовая переписка и различные пароли. Интересно, что специалистам удалось слёту расшифровать 56 000 паролей буквально в течение часа.

Получить управление над ботнетом Torpig (также известном как Sinowal) удалось благодаря расшифровке метода, с помощью которого клиентские машины ежедневно генерируют список ещё не зарегистрированных доменов.



Исследователи успели зарегистрировать один из таких доменов и поднять на нём управляющий сервер. За десять дней контроля над ботнетом они зафиксировали 180 000 заражённых ПК и более 1,2 млн IP-адресов, с которых приходили запросы.

Torpig специализируется на сборе финансовой информации. Всего за десять дней с клиентских машин было получено 8310 аккаунтов в 410 финансовых учреждениях, том числе PayPal, Capital One, E*Trade и Chase. Около 40% паролей было получено из менеджеров паролей в браузерах, а не из реальных сессий. По оценке специалистов, владельцы ботнета могли бы снять со всех этих счетов до $8,3 млн за десять дней работы.

Анализ показал также, что 28% жертв используют одни и те же данные для доступа ко всем сайтам и персональным сервисам, и это значительно облегчает жизнь злоумышленникам.

via Ars Technica