"NeoSploit is terug", beweert Ian Amit, directeur van de onderzoeksdivisie van beveiligingsbedrijf Aladdin. Het bericht dat afgelopen zomer door de makers de wereld in is geholpen was een afleidingsmanoeuvre, zo pleit de onderzoeker. "Als een dergelijk pakket zo veel aandacht krijgt van onderzoekers en autoriteiten, dan willen ze daarvan af", zegt Amit tegenover Computerworld. "Door geruchten de wereld in te helpen dat ze ermee ophouden, duiken ze verder onder de radar."

Reïncarnatie

Aladdin zegt deze week een nieuwe versie van de toolkit te hebben opgedoken op een Argentijnse server. Het zou gaan om versie 3.1, met een build-datum van 9 augustus, ruim een maand na het bericht van beveiliger van RSA dat de groep ermee ophield. RSA had toen een bericht gevonden waarin de makers hun afscheid aankondigden.

De onderzoekers waren toen al sceptisch over het idee dat de criminelen hun operaties helemaal zouden staken. In dit nieuwe geval zou het gaan om ongeveer twintig 'klanten', die gezamenlijk duizenden succesvolle exploits per dag logden, aldus Amit. Dat zou via twee- a driehonderd besmette websites gaan. Amit zegt verder dat een recente golf van aanvallen op PDF-kwetsbaarheden een lijntje hebben met de terugkeer van NeoSploit.

Infectie

NeoSploit is een toolkit waarmee criminelen bezoekers van websites kunnen infecteren met malware. Programma's die met het pakket gebouwd zijn, moeten via een bestaand lek in een website worden gesmokkeld, waarna bezoekers van die website kunnen worden geïnfecteerd. Daarnaast biedt het allerhande tools waarmee statistieken worden bijgehouden en de malware kan worden beheerd, evenals uitgebreide databasemogelijkheden voor gestolen informatie.

Het pakket dook voor het eerst op in 2007 en wordt gezien als een voortzetting van MPack. Voor het pakket moet grof geld worden neergelegd (tot in de duizenden dollars), waarna de klanten kunnen rekenen op ondersteuning en regelmatige updates om beveiligingsleveranciers voor te blijven. Een van de redenen dat NeoSploit 'de handdoek gooide' zou dan ook zijn dat het programma het slachtoffer werd van piraterij, ondanks dat het in principe alleen aan 'vertrouwde' klanten in de onderwereld wordt verstrekt.

Daar is nu wel paal en perk aan gesteld: de al draconische 'DRM' in de software is verder aangescherpt. Zo is bijvoorbeeld de login gekoppeld aan een ip-adres.

Bron: Techworld.nl