Canadese politie doet inval bij ontwikkelaar Orcus RAT

[Captain Kirk]

De Canadese politie heeft vorige week een inval gedaan bij de ontwikkelaar van de Orcus "remote administration tool" (RAT), hoewel meerdere beveiligingsonderzoekers het als een remote access trojan beschouwen. Bij de inval zijn verschillende harde schijven met informatie over gebruikers in beslag genomen, waaronder gebruikersnamen, echte namen, transactiegegevens en andere data.

Dat heeft de ontwikkelaar via een bericht op Pastebin bekendgemaakt en is door it-journalist Brian Krebs bevestigd, die een kopie van het huiszoekingsbevel ontving. Vorige week meldde de Canadese toezichthouder CRTC dat er, als onderdeel van een internationaal onderzoek naar remote access trojans, een huiszoeking in Toronto had plaatsgevonden. Verdere details over de zaak werden in het persbericht niet gegeven.

Orcus werd aangeboden als een remote administration tool om systemen op afstand te kunnen beheren. Het biedt echter allerlei features die eerder bij malware worden aangetroffen en niet voor een beheertool nodig zijn. Zo kan Orcus het lampje van de webcam uitschakelen, zodat slachtoffers niet zien dat ze worden bekeken. Verder kan de tool een blue screen of death (BSOD) veroorzaken als wordt geprobeerd het proces uit te schakelen en is het in staat om cookies en wachtwoorden te stelen. Tevens zijn er plug-ins waarmee het mogelijk is om systemen waarop Orcus is geïnstalleerd te gebruiken voor ddos-aanvallen.

In het verleden is de tool onder andere gebruikt bij aanvallen tegen bitcoinbezitters. Orcus werd via een publieke website voor enkele tientjes verkocht door een partij die zich "Orcus Technologies" noemde. Begin dit jaar besloot de ontwikkelaar de stekker uit het project te trekken en maakte een licentievrije versie van het programma beschikbaar, alsmede softwareontwikkelingstools en documentatie, zo laat securitybedrijf Morphisec weten.

In de aankondiging over de inval meldt de ontwikkelaar dat de licentiedatabase niet in handen van de autoriteiten is gekomen. Wel waarschuwt hij gebruikers dat het programma niet langer als veilig beschouwd moet worden en het gebruik per direct moet worden gestopt.

 

 

bron: security.nl