Malware Pony Botnet : 2 millions d'identifiants volés dans la nature

L'équipe de SpiderLabs a récemment mis la main sur une base de données contenant, en tout, plus de 2 millions d'informations d'identifications issues de nombreux services et plateformes. Le botnet Pony Controller est à l'origine de cette moisson.

Composée de hackers et de chercheurs, l'équipe Spiderlabs de Trustwave suit activement l'évolution du Pony Botnet Controller, un logiciel malveillant dont l'objectif est de « zombifier » les machines infectées et de récolter des données personnelles par l'intermédiaire d'un keylogger.

Au détour d'un serveur qui contrôle un réseau d'ordinateurs zombies affectés par Pony, les chercheurs ont mis la main sur 2 millions d'identifiants et de mots de passe issus de divers sites et services. Parmi les sites touchés, on trouve entre autres Facebook, Twitter, Yahoo, Google ou encore LinkedIn. Des accès à des FTP, à Secure Shell (SSH) ou à Remote Desktop répondent également présents.


Il ne s'agit donc pas ici de bases de données qui ont été volés sur les serveurs d'entreprises, mais d'informations glanées sur des machines contaminées par le malware. Spiderlabs constate qu'une adresse IP située au Pays-Bas revient de multiples fois dans les logs du serveur, ce qui laisse penser que le pays a servi de passerelle pour rediriger le trafic des machines infectées sur le serveur de contrôle. Plus de 90 pays seraient concernés par ces données.

Outre le fait de mettre en garde contre ce botnet, les chercheurs en profitent pour mettre en avant la pauvreté des mots de passe récoltés, puisque ces derniers sont stockés en clair : « 123456 » revient par exemple 15 820 fois dans la base de données, devant « 123456789 » (4875 fois), 1234 (3135 fois) ou encore le très inspiré « password » (2212 fois).