Thanatos στις υπηρεσίες της IPS. Ερευνητές της εταιρείας ασφαλείας SurfWatch Labs κατάφεραν να σταματήσουν έναν προγραμματιστή που ήθελε να παραβιάσει χιλιάδες forum και ιστοσελίδες που φιλοξενούνται στην υποδομή της Invision Power Services, που αναπτύσσουν το λογισμικό για την δημιουργία forum IP.Board γνωστό και σαν IPS Community Suite.
Το σχέδιο παραβίασης της πλατφόρμας το είχε ο προγραμματιστής κακόβουλου λογισμικού που είναι γνωστός σαν AlphaLeon. Ο AlphaLeon από την αρχή του Μάρτη του τρέχοντος έτους άρχισε να πουλά ένα νέο trojan που το έχει ονομάσει Θάνατος ή Thanatos.
Το κακόβουλο λογισμικό προωθούνταν με ενοικίαση σαν πλατφόρμα MaaS (Malware-as-a-Service).
Προκειμένου να αυξηθεί το μέγεθος του botnet Thanatos και να είναι αποτελεσματικότερο, ο AlphaLeon έπρεπε να βρει έναν τρόπο να παραδώσει το trojan σε όσο το δυνατόν περισσότερους χρήστες. Για το σκοπό αυτό, επινόησε ένα σχέδιο και άρχισε με την πραγματοποίηση του.
Άρχισε να αναζητεί ευπάθειες και exploits για την υποδομή της Invision Power Services (IPS), η οποία διαθέτει στους πελάτες της, το λογισμικό IPS Community Suite σαν πλατφόρμα φιλοξενίας, που τρέχει σε servers της AWS (Amazon Web Services).
Όταν ο hacker απέκτησε πρόσβαση στους IPS servers, εγκατέστησε το exploit kit το οποίο άρχισε να μολύνει αυτόματα τους επισκέπτες της ιστοσελίδας με το trojan Thanatos. Το κακόβουλο λογισμικό έβρισκε τον δρόμο του προς τα συστήματα των θυμάτων του δια μέσω παλαιών εκδόσεων browser ή plugins των προγραμμάτων περιήγησης.
Στους πελάτες της IPS συμπεριλαμβάνονται μεγάλες εταιρείες όπως η Evernote, το NHL, ο Όμιλος Warner Music, η Bethesda Softworks, και η LiveNation, καθώς εκτός από το κλασικό IP.Board forums, η IPS επιτρέπει στους πελάτες να δημιουργήσουν καταστήματα ηλεκτρονικού εμπορίου.
Το σχέδιό του AlphaLeon διακόπηκε απότομα, όταν η εταιρεία ασφαλείας SurfWatch Labs κατάλαβαν τις προθέσεις του, ενώ η σέρφαραν στο Dark Web. Οι ερευνητές επικοινώνησαν με την IPS, η οποία αγνοούσε την παραβίαση του hacker, ανακάλυψαν το σημείο εισόδου, και έκλεισαν το κενό ασφαλείας. Το περιστατικό συνέβη στις αρχές του Απριλίου, και η IPS είναι ακόμη στη διαδικασία της διερεύνησης της παραβίασης.
Σύμφωνα με τις πιο πρόσφατες διαφημίσεις του Thanatos στο Dark Web, το trojan το οποίο στις αρχές του Μαρτίου ήταν μόνο ένα ισχυρό τραπεζικό trojan, έχει πλέον ενημερωθεί με πρόσθετες λειτουργίες με τη μορφή add-on modules.
Τα modules αυτά επιτρέπουν στους πελάτες του botnet Thanatos για να εξαπολύουν επιθέσεις DDoS, να διανέμουν ransomware, να έχουν πρόσβαση στην κάμερα του θύματος, να κλέβουν Bitcoin, την αποστολή spam, και να κλέβουν κωδικούς πρόσβασης.