Эксперты из компании Prevx обнаружили троян, с помощью которого злоумышленники смогли похитить более 88 000 паролей и имен пользователей, используемых для получения доступа к корпоративным FTP-серверам.
Анализируя образец вредоносного кода, эксперты установили, что троян обменивается данными со сторонним веб-сервером. Проследовав по найденному следу, специалисты обнаружили в кэше сервера список похищенных реквизитов, хранимых в открытом незашифрованном виде. Исследователи утверждают, что жертвами хакеров оказались такие крупные организации, как Symantec, McAfee, Amazon, Cisco и Bank of America.
Обнаруженный троян представляет собой модификацию известного приложения ZBot, которое некоторое время назад распространялось по электронной почте под видом критически важного обновления для почтового клиента Microsoft Outlook. Проникая на скомпрометированный компьютер, троянское приложение собирает всю информацию об устанавливаемых FTP-соединениях, которую сможет обнаружить
Эксперты Prevx уже связались с большинством пострадавших организаций и передали собранную информацию специалистам US CERT, в чьи обязанности входит оперативное реагирование на подобные инциденты. Также пользователи могут самостоятельно проверить , не оказались ли принадлежащие им реквизиты доступа в упомянутом списке.