Изучая очередной образец вредоноса, специалисты Symantec наткнулись в Сети на сервер с базой из 44 миллионов логинов и паролей. "Подследственный" троян выполнял очень важную задачу — проверял эти пароли на валидность. Все 17 гигабайт логинов и паролей так или иначе затрагивают онлайн-игры: либо они используются непосредственно для какой-то определённой игры, либо относятся к аккаунтам пользователей сайтов, где собраны коллекции онлайн-игр. Всего затронуто по крайней мере 18 различных сайтов, причём, как отмечают в Symantec, китайских (упоминается только один из них, Wayi Entertainment, расположенный в тайваньской доменной зоне). Эксперты полагают, что пароли были собраны злоумышленниками при помощи какой-то шпионской программы. Наверняка сказать трудно, поскольку троян, который препарировали в Symantec, обращался к базе вовсе не для того, чтобы внести туда новые данные. Очевидно, собрав столь солидную базу паролей, злоумышленники задались вопросом превращения их в деньги. Для этого им понадобилось сперва выяснить, какие из этих паролей правильные, а какие нет (ведь, к примеру, пользователь заражённого кейлоггером компьютера мог ошибиться при вводе пароля). Однако проверить 44 млн паролей — задача вовсе не такая тривиальная. Ручная работа отпадает, один или несколько компьютеров — тоже (долговато, плюс существует риск того, что игровой сайт забанит IP, с которого осуществляется множество попыток подключения к разным аккаунтам). Поэтому злоумышленники решили воспользоваться ботнетом, который, очевидно, и так уже был у них под рукой. Symantec сообщает, что добавил сигнатуру трояна-валидатора в свои базы, однако ничего не говорит о том, была ли сделана попытка связаться с администрацией игровых сайтов, миллионы пользователей которых стали жертвами атаки.
Подробности