Изучая очередной образец вредоноса, специалисты Symantec наткнулись в Сети на сервер с базой из
44 миллионов логинов и паролей. "Подследственный" троян выполнял очень важную
задачу — проверял эти пароли на валидность.
Все 17 гигабайт логинов и паролей так или иначе затрагивают онлайн-игры: либо
они используются непосредственно для какой-то определённой игры, либо относятся
к аккаунтам пользователей сайтов, где собраны коллекции онлайн-игр. Всего
затронуто по крайней мере 18 различных сайтов, причём, как отмечают в Symantec,
китайских (упоминается только один из них, Wayi Entertainment, расположенный в
тайваньской доменной зоне).
Эксперты полагают, что пароли были собраны злоумышленниками при помощи
какой-то шпионской программы. Наверняка сказать трудно, поскольку троян, который
препарировали в Symantec, обращался к базе вовсе не для того, чтобы внести туда
новые данные.
Очевидно, собрав столь солидную базу паролей, злоумышленники задались
вопросом превращения их в деньги. Для этого им понадобилось сперва выяснить,
какие из этих паролей правильные, а какие нет (ведь, к примеру, пользователь
заражённого кейлоггером компьютера мог ошибиться при вводе пароля).
Однако проверить 44 млн паролей — задача вовсе не такая тривиальная. Ручная
работа отпадает, один или несколько компьютеров — тоже (долговато, плюс
существует риск того, что игровой сайт забанит IP, с которого осуществляется
множество попыток подключения к разным аккаунтам). Поэтому злоумышленники решили
воспользоваться ботнетом, который, очевидно, и так уже был у них под рукой.
Symantec сообщает, что добавил сигнатуру трояна-валидатора в свои базы,
однако ничего не говорит о том, была ли сделана попытка связаться с
администрацией игровых сайтов, миллионы пользователей которых стали жертвами
атаки.