Dopo una lunga indagine effettuata dal Microsoft Malware Protection Center, la Microsoft Digital Crimes Unit ha iniziato a bloccare la diffusione dei malware Jenxcus e Bladabindi, che finora hanno infettato oltre 7 milioni di computer in tutto il mondo, identificando anche le due persone che le hanno creati e distribuiti. L’operazione, autorizzata dalla Corte Distrettuale del Nevada, ha portato al sequestro di 23 domini gestiti da No-IP. L’azione ha provocato l’interruzione del servizio per milioni di siti web legittimi.
Jenxcus e Bladabindi sono malware che permettono l’installazione di backdoor sui computer degli utenti, sfruttando drive rimovibili infetti, attacchi drive-by-download o tecniche di ingegneria sociale. Alcune varianti di questi worm consentono di prendere il controllo del sistema e quindi rubare password (keylogging), effettuare screenshot, registrare audio e video attraverso microfono e webcam. I cybercriminali possono anche scaricare nuovi componenti per aggiungere ulteriori funzionalità. Microsoft ha scoperto che il server remoto utilizza il servizio Dynamic DNS offerto da No-IP per ostacolare il tracciamento del traffico di rete.
Il 19 giugno, l’azienda di Redmond ha chiesto un ordine restrittivo provvisorio alla Corte Distrettuale del Nevada contro No-IP. Il 26 giugno, il giudice ha approvato la richiesta, assegnando a Microsoft la gestione di 23 domini No-IP, che quindi ha individuato i due malware, bloccando il traffico verso il server remoto. Secondo Microsoft, i fornitori dei servizi DDNS dovrebbero monitorare la propria infrastruttura per impedire un uso illecito da parte dei cybercriminali.
Vitalwerks Internet Solutions, l’azienda che offre il servizio No-IP, ha pubblicato un post sul sito ufficiale per comunicare il motivo del blackout. I domini sequestrati sono usati da milioni di utenti innocenti, alcuni dei quali hanno sottoscritto anche un abbonamento annuale. Sebbene Microsoft abbia dichiarato che sono stati bloccati solo i sottodomini usati dai creatori dei malware, consentendo la risoluzione degli altri hostname, No-IP ritiene che ciò non sia avvenuto, in quanto l’infrastruttura dell’azienda di Redmond non sarebbe in grado di gestire i miliardi di query degli utenti.