Af Torben B. Sørensen, 18/04/18
Sikkerhedsfirmaet Proofpoint har sammen med forskere fra Brilliantit og Abuse.ch blokeret et system, der var med til at inficere computere.
EITest har været kendt siden 2011. Det er et system af servere, der omdirigerer webbrugere til skadelige websteder, som forsøger at inficere deres computere.
I begyndelsen blev EITest kun brugt til at føre potentielle ofre hen til et exploit kit ved navn Glazunov. Men i 2014 begyndte bagmændene at sælge adgang ti EITest-systemet til andre it-kriminelle.
For en pris på 20 dollars pr. 1.000 brugere kunne de kriminelle leje sig ind på EITest, der sørgede for at sende brugerne videre til exploit kits og andre skadelige websteder.
På det seneste har EITest primært været brugt til at sende potentielle ofre til websteder, der forsøgte at inficere dem med ransomware.
Ved at overtage et centralt domæne blokerede sikkerhedsfirmaerne for trafikken over EITest den 15. marts.
Efter overtagelsen analyserede Proofpoint trafikken, der ankom til EITest-serverne mellem den 15. marts og 4. april. Der kom næsten 44 millioner forespørgsler fra 52.000 servere. Det drejer sig sikkert om servere, der er hacket og bliver misbrugt.
Links
- EITest: Sinkholing the oldest infection chain, blogindlæg fra Proofpoint
- Exposing EITest campaign, blogindlæg fra Brillantit
- Security bods liberate EITest malware slaves, artikel fra The Register
- Researchers Take Down Network of 52,000 Infected Servers Distributing Malware, artikel fra Bleeping Computer
- Researchers Sinkhole Deep-Rooted "EITest" Infection Chain, artikel fra SecurityWeek