Een lek in de software van de Koobface trojan lijkt een probleem te vormen voor de auteurs van de worm. De zwakke plek zorgt er voor dat een heel botnet van de worm overgenomen kan worden door rivaliserende cybercriminelen.

De Koobface worm, bekend als Trojan.Jnanabot, OSX/Koobface.A of trojan.osx.boonana.a, kwam in oktober onder de aandacht van onderzoekers. Door zijn Java-basis, voelt de trojan zich op meerdere platformen thuis. Mac en Linux machines zouden aangevallen kunnen worden, naast de gebruikelijke Windows-systemen.

Zelfmoordneigingen

Wanneer het Trojaanse paard geïnstalleerd is op de pc van het slachtoffer, houdt het zich schuil in een verborgen map en gebruikt het een sterke versleuteling om de communicatie naar buiten geheim te houden.

De bot kan onder andere DDoSsen, gebruik maken van IRC voor communicatiedoeleinden en berichten op de Facebook-pagina plaatsen van het slachtoffer. Via die laatste functionaliteit werd Koobface ontdekt, aangezien het een lichtelijk verontrustende boodschap op de Facebook van het slachtoffer zette, te weten: “As you are on my friends list I thought I would let you know I have decided to end my life”.

De achilleshiel

Onderzoekers van Symantec hebben echter de zwakke plek ontdekt van de trojan. Die zit in de peer-to-peer functionaliteit van Koobface. Dit lek stelt rivaliserende bendes in staat om eenvoudig hun eigen malware te planten en zo een heel botnet van de bestuurders van Koobface in te lijven. Ook kunnen kwaadwillenden bestanden stelen via de achilleshiel van de worm.

Volgens Dean Turner, hoofd van het Symantec Global Intelligence Network, is het een goede les voor malware-auteurs. “Zelfs als je aan het bouwen bent op een beveiligd platform zoals in dit geval, moet je applicatiebeveiliging toepassen. Anders wordt je gewoon keihard gepakt door je collega-criminelen”, zo tipt hij de cyberbendes.

Peer-to-peer

Normaal gesproken wordt peer-to-peer functionaliteit juist ingebouwd, zodat het lastiger is om het botnet neer te halen. Peer-to-peer zorgt er namelijk voor dat er via meerdere kanalen gecommuniceerd kan worden met het botnet.

Het aantal besmettingen met de worm valt tot op heden behoorlijk mee. Het gaat volgens Turner eerder om duizenden en niet niet om honderdduizenden besmettingen. Het aandeel Mac-besmettingen is op dit moment 16 procent van alle Koobface-gevallen. Linux lijkt nog helemaal niet te zijn getroffen, omdat de worm een reboot op dit platform niet overleeft.