Inloggegevens voor FTP zijn zeer populair bij cybercriminelen, zo blijkt uit de ontdekking van een botnet dat meer dan 100.000 FTP-logins wist te stelen. Het Golden Cash botnet is echter meer dan een standaard botnet, aldus beveiligingsbedrijf Finjan. Het zou namelijk een compleet handelsplatform zijn voor het aanbieden en kopen van geïnfecteerde computers. Daarnaast biedt het een exploit-toolkit met geobfusceerde code om de malware te distribueren.

Kopers kunnen per land een hoeveelheid gewenste computers aanschaffen. Hierbij is er een groot verschil per regio. Zo wordt er 5 dollar voor 1000 Japanse computers gevraagd, terwijl dezelfde hoeveelheid Australische computers voor 100 dollar van de hand gaat. Wie interesse in een Nederlands botnet heeft moet hiervoor 20 dollar neerleggen. De dynamische marktplaats van het Golden Cash botnet maakt het ook weer mogelijk om een gekocht botnet door te verkopen. Een Nederlands botnet van duizend computers kost dan 400 dollar, wat betekent dat de aanbieder 380 dollar winst maakt.

Botnet
De werking van het botnet is hetzelfde als die van andere botnets. Slachtoffers bezoeken een gehackte website en raken geïnfecteerd omdat ze hun machine niet volledig gepatcht hebben. Vervolgens wordt er een op maat gemaakte Trojan op het systeem geïnstalleerd, die van de Golden Cash server afkomstig is. Op deze manier heeft elke gebruiker de beschikking over zijn eigen, unieke botnet.

Eenmaal geïnstalleerd neemt het Trojaanse paard weer contact op met de Golden Cash server en het account wat de aanvaller heeft. Eenmaal actief is het eerste dat de malware doet het installeren van een FTP-grabber, om zo de FTP inloggegevens te stelen. Bij het onderzoeken van de Golden Cash server, troffen onderzoekers zo'n 100.000 FTP logins aan. Zodra het botnet van eigenaar wisselt, wordt aanvullende malware geïnstalleerd.