giovedì 5 dicembre 2013

Pony malware ruba 2 milioni di password Facebook, Twitter e Yahoo!


Più di 2 milioni di account sono stati compromessi da siti popolari come Google, Yahoo!, Twitter, Facebook e LinkedIn dopo che un malware ha catturato le credenziali di accesso dagli utenti di tutto il mondo, secondo un nuovo rapporto. Come riporta Mashable, secondo la società di sicurezza web Trustwave, i crcaker hanno rubato nomi utente e password di accesso attraverso vari siti nel mese scorso con l'aiuto di Pony malware, un pò diversamente rispetto a una tipica violazione.

"Anche se questi sono gli account dei servizi online come Facebook, LinkedIn, Twitter e Google, questo non è il risultato di una debolezza in quelle reti aziendali", ha detto Abby Ross, un portavoce Trustwave. "I singoli utenti hanno installato il malware sulle loro macchine e sono state rubate le loro password. Pony ruba le password che vengono memorizzate sul computer degli utenti infetti, nonché mediante l'acquisizione quando sono utilizzate per accedere ai servizi web". 

Attraverso una variante della botnet Pony è stato distribuito un keylogger che dallo scorso mese di ottobre ha rubato 1,6 milioni di password e credenziali di accesso. I cracker hanno sottratto per la precisione 1.580.000 credenziali di accesso ai vari siti web e 320.000 account di posta elettronica. Secondo Trustwave, gli aggressori hanno prelevato 318.121 password di Facebook, 59.549 di Yahoo!, 54.437 di Google, 21.708 di Twitter, 8.490 di LinkedIn e 8.000 account ADP.


Anche se il colpevole dietro il furto rimane sconosciuto, Trustwave ha scritto sul suo blog che due obiettivi erano siti russi di social network (vk.com e odnoklassniki.ru), che potrebbe suggerire l'origine del virus. "Il malware è stato configurato in modo che la maggior parte delle informazioni sulle credenziali sono state inviate a un server in Olanda", ha detto Ross. "Il server non mostra da quali paesi l'informazione proveniva per cui non possiamo calcolare esattamente quanti utenti di ogni paese sono stati colpiti". 

"Tuttavia, possiamo confermare che gli attaccanti hanno preso di mira utenti in tutto il mondo, tra cui in Stati Uniti, Germania, Singapore, Thailandia e altri". La tecnica di usare un proxy inverso è comunemente utilizzata dai malintenzionati per evitare che il server di comando e controllo venga scoperto e arrestato. E 'anche importante notare che le credenziali rubate non sono mai state rese pubbliche online, come è accaduto in altre occasioni.

Ricercatori di Trustwave ricercatori sono riusciti ad accedere a un server di comando e controllo utilizzato dalla botnet Pony e recuperare le password da lì. "Abbiamo raggiunto fuori ai principali fornitori di servizi interessati e stanno prendendo misure per informare i propri utenti o rimediare gli account compromessi", ha detto Ross a Mashable. Su circa due milioni di credenziali rubate, il 57% apparteneva a Facebook, seguito da Yahoo! (10%), Google (9%) e Twitter (3%).


Un portavoce di Facebook ha detto a Mashable che l'azienda ha già raggiunto gli utenti con gli account compromessi. "Mentre i dettagli di questo caso, non sono ancora chiari, sembra che i computer delle persone possano essere stati attaccati da cracker utilizzando malware che prelevano informazioni direttamente dal proprio browser web", ha detto un portavoce di Facebook a Mashable. Come precauzione, abbiamo avviato un reset della password per le persone le cui password sono state esposte".

La stessa soluzione che Facebook ha adottato in occasione dell'attacco subito da Adobe. Facebook ha aggiunto che i suoi utenti possono proteggersi quando si utilizza il sito attivando autorizzazioni d'accesso e le notifiche di accesso nelle loro impostazioni di sicurezza. "[Questi utenti] saranno avvisati quando qualcuno tenta di accedere al proprio account da un browser non riconosciuto e nuovi login richiederà un codice univoco generato sul proprio cellulare", ha detto il portavoce.

La società ha inoltre scoperto che la maggior parte delle password compromesse erano deboli. "Nella nostra analisi, le password che utilizzano tutti e quattro i tipi di carattere e sono più lunghe di 8 caratteri sono considerate eccellenti, considerando che le password con quattro caratteri o meno di un solo tipo sono considerati terribili", ha scritto Trustwave sul suo blog. Molti degli account compromessi avevano password popolari come "123456" o "1234". Troppi "admin" hanno usato password come "11111" per accedere ad account FTP, RDP e SSH.


Via: Wired

Nessun commento:

Posta un commento

Related Posts Plugin for WordPress, Blogger...