ESET ogłosił usunięcie botnetu, który od 2019 roku zainfekował już ponad 35 tys. komputerów. Większość ofiar pochodzi z Ameryki Łacińskiej – 90% zlokalizowano w Peru.

Głównym celem VictoryGate, jak nazwany został botnet, było infekowanie ofiar złośliwym oprogramowaniem, które po kryjomu wykopywało kryptowalutę Monero. Według badacza, botnet był kontrolowany za pomocą serwera ukrytego za usługą No-IP dynamic DNS. Specjalistom z ESET udało się przejąć serwer C&C i skonfigurować serwer sinkhole, aby monitorować i kontrolować zainfekowane hosty.

Definicja: Sinkhole/Blackhole DNS to serwer lub segment sieci, do którego celowo skierowany jest złośliwy ruch. Jest to aktywna technika wykorzystywana do obrony przeciwko złośliwym działaniom.

Firma współpracuje teraz z członkami Shadowserver Foundation, aby powiadamiać wszystkie podłączane do sinkhole komputery. Ten notuje dziennie od 2 do 3,5 tys. komputerów pingujących serwer C&C w celu uzyskania nowych poleceń.

Do tej pory udało się odkryć jeden sposób dystrybucji VictoryGate – złośliwy napęd USB. Wydaje się, że złośliwe oprogramowanie mogło zostać potajemnie zainstalowane na skażonej partii urządzeń pamięci USB, które zostały wysłane do Peru. VictoryGate zawiera również komponent, który kopiuje infektor USB na nowe urządzenia USB podpinane do komputera i w ten sposób rozprzestrzenia się dalej.

Źródło