Trojaner får instrukser fra Google Grupper

Virus-programmørerne bliver hele tiden mere luskede. For at undgå at blive opdagede er de begyndt gemme deres "command and control"-instruktioner på Google Grupper og Twitter.

Af Robert McMillan

Publiceret d. 15. september 2009 kl. 07.31

Send

Annonce:

ANNONCE:

Computerworld News Service: Sikkerhedsleverandøren Symantec har for nylig fundet en trojaner, der er programmeret til at kontakte en privat Google Gruppe ved navn escape2sun, hvorfra den downloader krypterede instruktioner eller endda softwareopdateringer.

Disse command and control-instruktioner bruges af it-kriminelle til at holde kontakt til hackede pc'er og til at opdatere deres malware.

Sikkerhedseksperter har også fundet it-kriminelle, der gemmer deres kommunikation i RSS-feeds, der er sat op til at sende Twitter-beskeder, siger Gerry Egan, som er leder for Symantec Security Response.

"Vi ser en stigende tendens til at bruge mere mainstream sociale medier til at skjule command and control," forklarer han.

Udnyttelsen af Google Grupper er tilsyneladende på prototype-stadiet, men Gerry Egan forventer, at de kriminelle i stigende grad vil udnytte sociale medier til dette formål, i takt med at sikkerhedssoftware bliver mere effektivt til at kæmme for de traditionelle command and control-mekanismer.

"Malware-programmørerne indser tilsyneladende nu, at deres teknikker er blevet gennemskuet, og at de er nødt til at prøve noget nyt," siger Gerry Egan.

De fleste it-kriminelle kommunikerer i dag med pc'er, de har inficeret, ved hjælp af IRC- (internet relay chat) servere eller ved at placere instruktioner på mystiske websites, der er svære at finde. I takt med, at systemadministratorer bliver bedre til at spotte og blokere denne kommunikation, forsøger de it-kriminelle, "at gemme disse command and control-beskeder i legitim trafik, så tilstedeværelsen af trafikken ikke er mistænkelig i sig selv," forklarer Gerry Egan.

Svært at blokere
En systemadministrator kan let blokere adgang til IRC, men det er en helt anden sag at blokere Twitter eller Google.

Trojaneren, der udnytter Google Grupper stammer tilsyneladende fra Taiwan og bruges sandsynligvis til i ro og mag at indsamle information til fremtidige angreb. Trojaneren har ifølge data fra Google Grupper ikke spredt sig væsentligt, siden den først blev opdaget i november 2008.

"En sådan trojaner kan muligvis være blevet udviklet til målrettet industrispionage, hvor anonymitet og diskretion prioriteres højt," skriver Symantec på virksomhedens blog.

Oversat af Thomas Bøndergaard