ICT Zine

Malware die gebruikt wordt om een nieuw botnet te vormen blijkt te zijn vermomd als een legitieme add-on voor Mozilla Firefox. Het gaat om een ongebruikelijk botnet dat iedere geïnfecteerde machine aan het werk zet om kwetsbare websites op te sporen.

Het botnet is ontdekt door beveiligingsonderzoeker Brian Krebs en heeft van zijn makers de naam ‘Advanced Power’ gekregen. Het netwerk is al sinds mei 2013 actief, maar is nu pas ontdekt. De malware is vermomd als de legitieme FireFox add-on ‘Microsoft .NET Framework Assistant’. FireFox geeft wel aan dat de maker van de add-on niet geverifieerd is.

SQL-injecties Alle bots in het botnet worden door de makers ingezet om websites op te sporen die kwetsbaar zijn voor een SQL-injectie. De malware probeert nagenoeg iedere website die een slachtoffer bezoekt aan te vallen met een dergelijke aanval. Kwetsbare websites kunnen door de beheerders van het botnet worden ingericht voor een drive-by aanval. Ook kunnen zij besluiten de database achter de website te stelen.

Krebs heeft toegang weten te krijgen tot het beheerderspaneel van het botnet. Hieruit blijkt dat de website ruim 12.500 PC’s heeft besmet. Deze PC’s hebben gezamenlijk tenminste 1.800 websites gevonden die kwetsbaar zijn voor een aanval met een SQL-injectie.

http://krebsonsecurity.com/2013/12/botnet-enlists-firefox-users-to-hack-web-sites/