Botnet rouba 2 milhões de logins do Facebook, Google e Twitter

A segurança é no mundo actual uma incógnita. Ninguém sabe dizer com firmeza o que está seguro o que é privado ou o que está abrangido por mecanismos de protecção total. Há um nevoeiro de verdades e mentiras com nomes à mistura que estão a desnortear a credibilidade da Internet e dos sistemas que nela gravitam.

WikiLeaks, Snowden, NSA, Malware, Botnets e  espionagem são já palavras do léxico do comum dos mortais. Se lhe disser que foi encontrado um servidor na Holanda com milhões de logins (username e palavras passe) de serviços como Facebook, Google, Twitter… entre outros, já nem sabe se se preocupa ou encolhe os ombros!

Foram encontrados dois milhões de logins e senhas de serviços como Facebook, Google e Twitter, num servidor hospedado na Holanda. Esta máquina é parte de um grande botnet que utiliza software de controlo apelidado de “Pony”.

A particularidade desta descoberta está também nas credenciais de uma empresa que mexe já com o sistema financeiro norte americano. Os dados encontrados dos utilizadores da empresa ADP, empresa especializada em software de folha de pagamento e recursos humanos, estão também lá, conforme escreveu Daniel Chechik, um investigador de segurança SpiderLabs da empresa Trustwave.

Chechik refere que os cibercriminosos com as credenciais do Facebook, Google e outros serviços desta gama, pretendem uma acção directa às contas, contudo, o cenário altera-se quando está envolvida a Automatic Data Processing. Neste caso um ataque em larga escala poderá ter repercussões financeiras directas. A ADP movimentou 1,4 biliões de dólares ($1.4 trillion) no ano fiscal de 2013 nos EUA, este sistema é responsável pelo pagamento de um em cada seis trabalhadores no país, de acordo com o seu website.

Segundo os dados recolhidos, o Facebook era o serviço com mais credenciais roubadas, num total de 318.121, seguido pelo Yahoo com 59.549 e pelo Google com 54.437 . Outras empresas cujas credenciais de login apareceram no servidor de gestão do botnet, incluíam serviços como o LinkedIn e dois serviços de rede social russa, VKontakte e Odnoklassniki. A botnet também roubou milhares de credenciais FTP, credenciais de áreas de trabalho remotas e detalhes de serviços de segurança.

Não foi ainda apurado o tipo de malware que terá infectado as máquinas das vítimas e que terá enviado esta informação para o servidor de gestão e controlo deste botnet.

A Trustwave encontrou as credenciais depois de ter conseguido o acesso ao painel de administração do botnet. O código fonte do software do painel de controlo foi chamado de “Pony,” que vazou nalgum momento, refere também o investigador Daniel Chechik.

O servidor que armazenava as credenciais recebia informação a partir de um único IP com endereço na Holanda, o que sugere que os atacantes utilizam uma gateway ou proxy reverso entre os computadores infectados e o servidor de controlo do botnet.

”Esta técnica, de usar um proxy reversivo, é frequentemente utilizada pelos atacantes a fim de evitar que o servidor de controlo e comando seja descoberto e desligado. O tráfego de saída a partir de uma máquina infectada só mostra uma conexão com o servidor proxy, que é facilmente substituído caso o servidor seja desligado.” concluiu Chechik.

Um outro dado preocupante é o número de países envolvidos. As credenciais podem ter sido roubadas em pelo menos 102 países , o que mostra um ataque a uma escala global.

Os dados estão ainda a ser recolhido e é provável que sejam desvendadas mais informações sobre este novo problema de segurança.

Via | PCWorld

Actualização:

Após ter surgido esta informação, foi-nos enviado pelo Facebook a seguinte declaração: