Kroxxu, le botnet voleur de mots de passe, infecte maintenant les serveurs Web, en dérobant principalement les identifiants FTP de ces derniers.
Les chercheurs de la République Tchèque déclarent qu’un botnet auto-producteur volant la plupart du temps des informations d’identification FTP n’a cessé de croître en taille, avec un maximum de 100.000 domaines infectés et environ 1 million de bots.
Le laboratoire d’analyse de virus Avast Software a étudié le botnet Kroxxu au cours de la dernière année, et a divulgué cette semaine de nouveaux détails sur ce dernier. Ils disent qu’ils ne sont pas encore capable d’expliquer comment le botnet est rentable pour ses créateurs…
“Il y a un certain nombre de façons dont ils peuvent être eux-mêmes à l’appui,” explique Jiri Sejtko, directeur de recherche au Laboratoire de virus Avast dans un communiqué. “Les quatre méthodes les plus probables sont la vente d’espaces sur les serveurs infectés, l’utilisation de ce malware pour soutenir les activités d’autres, sans compter les plus rentables logiciels malveillants, la vente de titres volés, ou en utilisant les enregistreurs de frappe à la diffusion de pourriels. Mais à ce stade, il est plus important pour connaître ce botnet de découvrir son plan d’affaires. “
Ce que les chercheurs ne connaissent pas encore : est-ce que le botnet fait partie intégrante de tous les logiciels malveillants se propageant, comme les enregistreurs de frappe ? Quand un mot de passe est volé sur un site infecté, il ajoute ensuite un script dans le contenu du site afin qu’il puisse modifier des fichiers sur les serveurs infectés et se transmettre à d’autres. Il s’appuie sur la redirection, avec une connexion repéré à partir de 15 redirecteurs.
Il n’est pas facile d’enlever Kroxxu d’un serveur infecté, et certains sites web ont été infectés depuis plus de trois mois avant que Kroxxu ait été découvert par les chercheurs.