Meer dan 8700 FTP-accounts in handen van hackers

In zijn laatste ‘Malicious Page of the Month’-rapport (.pdf) meldt Finjan dat hackers met behulp van de NeoSploit Crimeware toolkit gestolen FTP-accounts, die het eigendom zijn van legitieme ondernemingen, verhandelt.

De onzerzoekers kondigden vandaag aan dat het een database heeft ontdekt met meer dan 8700 FTP-accounts, inclusief gebruikersnaam, wachtwoord en serveradres – die in handen zijn gevallen van hackers.

Met deze gestolen accounts kunnen criminelen toegang krijgen tot die servers en automatisch crimeware injecteren die de pc’s van bezoekers van zo’n ftp-server besmet.

Tot de lijst van gestolen accounts behoren internationale bedrijven die op de Fortune-lijsten staan uit onder meer de volgende sectoren: productie, telecom, media, online verkoop, IT en overheidsinstellingen. De gestolen FTP-accounts omvatten enkele van ‘s werelds top 100 domeinen, zoals gerangschikt door Alexa.com.

Finjan’s Malicious Code Research Center (MCRC) gaf een gedetailleerde omschrijving van een listige nieuwe toepassing, die speciaal werd ontworpen om gestolen FTP-accounts van legitieme bedrijven overal ter wereld, te misbruiken en te verhandelen. Er wordt een trading-interface gebruikt om de gestolen accounts te kwalificeren voor wat betreft de locatie van de FTP-server en Google page ranking van de gecompromitteerde server.

Met deze informatie kunnen cybercriminelen de prijs bepalen voor de onderschepte FTP-referenties voor doorverkoop aan andere cybercriminelen of om de aanval aan te passen voor meer prominente sites.Met de trading-toepassing kan de cybercrimineel ook informatie over FTP-referenties beheren zodat automatisch IFRAME-tags worden geïnjecteerd in webpagina’s op de gecompromitteerde server.

“Software-as-a-Service is al een tijdje in ontwikkeling, maar tot nu werd het uitsluitend toegepast op legitieme applicaties. Met deze nieuwe trading-toepassing krijgen cybercriminelen een instant ‘oplossing’ aangeboden voor hun ‘probleem’ om toegang te krijgen tot FTP-referenties en zodoende zowel de legitieme websites alsook de niets vermoedende bezoekers te infecteren.  Dit is allemaal mogelijk met een simpele druk op een knop,” zei Yuval Ben-Itzhak, CTO van Finjan.

Het bedrijf nodigt IT security-managers uit contact op te nemen met hen om te weten te komen of hun servers door criminelen onderhanden zijn genomen. U kunt contact opnemen via deze link.

De aanval wordt in detail beschreven in het meest recente rapport “Malicious Page of the Month” dat Finjan vandaag gepubliceerd heeft en gratis is te downloaden.