image

Nieuw ChewBacca-botnet verstopt zich via Tor-netwerk

woensdag 18 december 2013, 13:57 door Redactie, 1 reacties

Een nieuw botnet genaamd ChewBacca gebruikt het Tor-netwerk om zich te verstoppen. Tor is een anonimiseringsnetwerk dat onder andere het IP-adres van gebruikers verbergt. Dit biedt verschillende voordelen voor malware en de laatste tijd zijn er meer botnets ontdekt die Tor gebruiken.

Het gebruik van Tor brengt ook nadelen met zich mee, omdat het Tor-netwerk trager is dan een normale verbinding. Daarnaast kan een plotselinge toename van het aantal Tor-gebruikers het botnet uiteindelijk ontmaskeren. Dat gebeurde met het Mevade-botnet, dat eind augustus voor een explosieve groei van het aantal Tor-gebruikers zorgde en daardoor opviel.

ChewBacca

De ChewBacca-malware plaatst op besmette Windowscomputers een bestand genaamd 'spoolsv.exe'" in de Opstarten-map, waardoor het wordt geladen als de computer start. De Tor-software wordt in de Temp-map van de gebruiker geplaatst en maakt verbinding met Tor over poort 9050. Eenmaal actief slaat de malware alle toetsaanslagen in een logbestand op en stuurt die naar de Command & Control (C&C)-server die het botnet aanstuurt.

De malware heeft van anti-virusbedrijf Kaspersky Lab de naam ChewBacca gekregen omdat het inlogscherm van de C&C-server een afbeelding van ChewBacca bevat, een karakter uit de filmreeks Star Wars. De malware wordt voor zover bekend niet in het openbaar aan cybercriminelen aangeboden. Analist Marco Preuss houdt dan ook de mogelijkheid open dat de malware nog in ontwikkeling is of alleen in besloten kring wordt gebruikt.

Reacties (1)
18-12-2013, 14:11 door hx0r3z
Bacuda! Wat n' monster haha ..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.