Aanhangers Anonymous besmet met Zeus Trojan

Anonymous-supporters die meededen aan DDos-aanvallen zijn tijdens de actie besmet geraakt met het beruchte ZeuS Trojan, dat onder meer bankrekeningen leeghaalt. De malware zat verstopt in de DoS-tool.

De besmetting gebeurde tijdens de wraakactie tegen de Amerikaanse opsporingsdiensten die net de filingsharesite Megaupload uit de lucht hadden laten halen. Via Pastebin werden aanhangers van Anonymous opgeroepen een DDoS-tool te downloaden, in dit geval Slowloris. Maar wat ze niet wisten was dat een aanvaller snel het originele Pastebin-bestand had verwisseld voor een gewijzigde versie, zegt antivirusbedrijf Symantec.

In de gewijzigde versie was de originele downloadlink naar Slowloris vervangen door een link naar de versie van de DDoS-tool met het Trojaanse Paard erin. De betrokken Pastebin-post was al wat ouder en later op die 20ste januari werd er een nieuwe Anonymous DoS-handleiding gepost met links naar verschillende DoS-tools. Maar de link naar Slowloris was gekopieerd uit het andere Pastebin-bestand, waarin dus de link stond naar de Trojaanse versie van Slowloris.

Veel views en tweets
De file op Pastebin kreeg al snel 26.000 views en werd 400 maal op twitter genoemd, zegt Symantec. Onder meer YourAnonNews noemde de post in een tweet en dit account heeft meer dan 500.000 volgers. Zelfs tot op de dag van vandaag wordt er in tweets naar de Pastebin-post verwezen, terwijl de link naar het ge´nfecteerde bestand er nog instaat.

Nadat de executable is gedownload en uitgevoerd door een Anonymous-aanhanger, wordt de Zeus botnetclient ge´nstalleerd. Het originele malwarebestand probeert vervolgens de infectie te verbergen door de echte Slowloris te downloaden en over zich heen te kopiŰren.

Bankgegevens geupload
De Zeusinfectie is dan al diep in het computersysteem geworteld, waar hij bankgegevens probeert af te luisteren en door te geven en ook wachtwoorden van webmailaccounts doorzend. Doordat de originele Slowloris ook is gedownload en uitgevoerd neemt de pc ook nog deel aan DDoS-aanvallen zoals OpMegaupload. Symantec laat in zijn blogpost zien hoe de communicatie met de Command & Controlservers is gegaan.

Hoeveel aanhangers van Anonymous besmet zijn geraakt, blijft onduidelijk en ook Symantec blijft daar vaag over.