Een bekende malwarefamilie die gegevens voor internetbankieren steelt blijkt machines via UPnP in proxy-servers te veranderen. Daarvoor waarschuwt securitybedrijf McAfee. Volgens de beveiliger is QakBot, zoals de malware wordt genoemd, de eerste malware die besmette machines als https-gebaseerde controleservers inzet. QakBot doet dit om de werkelijke locatie van de controleserver te verbergen.
QakBot is al geruime tijd actief en is ontwikkeld om gegevens voor internetbankieren en andere waardevolle data te stelen. De malware maakt echter ook gebruik van universal plug and play (UPnP) om poorten open te zetten, zodat inkomende verbindingen van iedereen op het internet worden toegestaan om met de besmette machine te communiceren. Beveiligingsexperts waarschuwen al geruime tijd voor de risico's van UPnP en vorig jaar adviseerde de FBI om het uit te schakelen.
Eenmaal actief op een machine zoekt QakBot naar UPnP-apparaten, zoals de internet gateway, om vervolgens 27 interne en externe poorten te forwarden. Zodoende kan het apparaat via internet worden benaderd. "Aangezien UPnP ervan uitgaat dat locale applicaties en apparaten zijn te vertrouwen, biedt het geen beveiliging en is het kwetsbaar voor misbruik door elk besmette machine op het netwerk", zegt analist Sanchit Karve.
Hij merkt op dat de geforwarde poorten te generiek zijn om automatisch te verwijderen. Daarnaast zal een virusscanner dergelijke aanpassingen niet ongedaan maken, aldus de analist. Zelfs als de malware is verwijderd is de machine nog steeds bereikbaar via de geforwarde poorten. McAfee raadt gebruikers dan ook aan om geforwarde poorten te monitoren en UPnP op de thuisrouter uit te schakelen. Het securitybedrijf heeft daarnaast ook een gratis tool ontwikkeld om door QakBot geforwarde poorten en de proxy-service van de malware te detecteren en te verwijderen.
Deze posting is gelocked. Reageren is niet meer mogelijk.