ESET legt VictoryGate-botnet aan banden

Abonneer je gratis op Techzine!

ESET heeft het nieuwe malware-verspreidende botnet VictoryGate aan banden weten te leggen. Doel van dit botnet was het infecteren van computers met cryptomining malware.

Het cybersecurity-bedrijf trof in totaal 35.000 besmette computers aan in vooral Latijns-Amerika. Vooral in Peru dook de malware flink op. Het botnet infecteerde ongezien computers met de monero cryptomining malware. De command and control (C&C)-server van het botnet was verborgen achter de No-IP dynamic DNS-dienst.

Werking van VictoryGate

De exacte werking van het VictoryGate-botnet wordt op dit moment nog steeds door ESET onderzocht. Vooral wordt gekeken naar hoe het botnet wordt gedistribueerd. Tot nu toe is slechts één distributiemethode ontdekt.

De nu ontdekte distributiemethode vindt vooral plaats via USB-sticks of andere verwijdbare devices. Een computer wordt besmet als een slachtoffer een USB-device gebruikt die in een eerder stadium met een al besmette computer was verbonden. Na het insteken van de USB  device wordt de malware op de computer geladen. De malware heeft ook een speciaal USB-component dat andere USB devices na insteken meteen besmet. Op deze manier kan het zich onder meerdere devices verspreiden.

De onderzoekers vermoeden dat het VictoryGate-botnet in geheim is geïnstalleerd door een hoop vooraf besmette USB-sticks Peru binnen te brengen.

Voortgaand onderzoek

Hete security-bedrijf creëerde na het offline halen van de originele C&C-server een zogenoemde ‘sinkhole’ waarmee het de geïnfecteerde computers kon monitoren en controleren. Op basis van de hiermee verzamelde data komt naar voren dat op dit moment nog steeds tussen de 2.000 en 3.500 besmette computers dagelijks contact proberen te zoeken met de betreffende C&C-server voor opdrachten. Er wordt hard gewerkt om het botnet van alle besmette devices te verwijderen, zo geeft ESET aan.