De kwaadaardige software maakt gebruik van de populaire cloudopslagdienst Dropbox voor een verdere infectie van de gebruiker, blijkt uit onderzoek van beveiligingsbedrijf Webroot. Onderzoeker Curtis Fechner van Webroot schrijft in een blogpost dat de infectie aanvankelijk gebeurt via een programma dat zich vermomt als update voor Real Player. “Op het eerste gezicht lijkt er niets bijzonders aan de hand. Malware die zich voordoet als legitieme software is niet bijzonder", schrijft Fechner.

“Een nadere inspectie leert dat deze software duidelijk malafide is en dat het kwaadaardige bestanden downloadt vanaf de populaire web-based file opslag Dropbox." De bestanden die vanuit Dropbox worden gedownload lijken op hun beurt ook legitiem te zijn. Het gaat dan om .exe-files die zogenaamd van uTorrent, Picasa, Skype en iTunes zouden zijn. Andere bestanden hebben een random-naam constateert Fechner.

Trojan krijgt opdrachten van XML-file

Na het binnenhalen van de bestanden uit Dropbox probeert de trojan verbinding te maken met een XML-bestand dat het bereikt via een dynamische DNS-dienst. Via dat bestand krijgt het opdracht om meer bestanden binnen te halen en antivirusprogramma's uit te schakelen. Volgens Webroot gaat het hier vooral om spionagesoftware. Naast het uitschakelen van beveiliging wordt een groot aantal gegevens over de computer verzameld.

“Een ander doel van deze spion is om heel specifieke informatie over het systeem te verzamelen. Daaronder zijn onder meer hardware ID serials, computer- en gebruikersnamen, de versie van het besturingssysteem, informatie over de antivirussoftware en firewall en andere informatie die niemand in de handen van een wildvreemde wil zien vallen", schrijft Fechner. In een screenshot uit de blogpost is te zien dat er een enorme lijst aan informatie wordt verzameld.

'Geen legitieme accounts in gevaar'

Fechner wijst er verder nog op dat het er niet op lijkt dat Dropbox-gebruikers zich veel zorgen hoeven te maken. “Hoewel het jammer is dat er misbruik is gemaakt van een gratis dienst voor het verspreiden van hun malware, is er op dit moment geen indicatie dat er gebruik is gemaakt van legitieme accounts van andere gebruikers. Waarschijnlijk hebben de aanvallers gewoon hun eigen accounts geopend bij Dropbox."