Dois milhões de logins e senhas de serviços como Facebook, Google e Twitter foram encontrados em um servidor baseado na Holanda, parte de uma grande botnet apelidada de “Pony”. Os logins capturados podem ter vindo de até 102 países, indicando que o ataque é global.

O maior volume de credenciais roubadas é do Facebook, 318.121, seguido pelo Yahoo (59.549) e o Google (54.437). Outras empresas cujos logins apareceram no servidor de comando e controle da botnet foram o LinkedIn e dois serviços de rede social russos, VKontakte e Odnoklassniki.

Outra empresa que também teve logins de usuários encontrados nesse servidor foi ADP, especializada em software de folha de pagamento e recursos humanos, escreveu Daniel Chechik, pesquisador de segurança da Trustwave. “Espera-se que os cibercriminosos ataquem os principais serviços on-line, mas contas de serviços de folha de pagamento pode realmente ter repercussões financeiras diretas”, disse.

A Trustwave encontrou os logins e as senhas depois de ter acesso a um painel de controle do administrador da botnet. O código fonte para o software do painel de controle, chamado de Pony, vazou em algum momento, escreveu Chechik.

O servidor de armazenamento dos logins e senhas recebeu a informação de um único endereço IP, na Holanda, o que sugere que os atacantes estão usando um gateway ou proxy reverso entre computadores infectados e o servidor, de acordo com Chechik.

“Esta técnica de proxy reverso é comumente usada por atacantes para evitar que o servidor de comando e controle seja descoberto e derrubado. O tráfego de saída a partir de uma máquina infectada apenas mostra uma conexão com o servidor proxy, que é facilmente substituído no caso de ser descoberto”, explica Chechik.

Fonte: IDGNow