Los partidarios de Anonymous que se unieron a la Operación Megaupload obtuvieron más de lo que esperaban cuando descargaron lo que creían era la herramienta Slowloris DoS de una publicación de Pastebin.

Algunas horas después de que Megaupload se detuviera, y que sus operadores fueran arrestados, un individuo desconocido copió y pegó una publicación original de Anonymous en Pastebin, ofreciendo la herramienta actual y reemplazó la liga de descarga con una versión troyanizada.

"Más tarde ese mismo día, una guía por separado de Anonymous DoS fue colocaca en Pastebin, la cual incluía ligas a varias herramientas para DoS. Slowloris fue incluida en esta lista de herramientas – la versión troyanizada usa una copia modificada de la guía", señalaron investigadores de Symantec. 

La última publicación resultó viral para los partidarios de Anonymous :

Créditos: Help Net Security

Y una liga a la guía aún es retwitteada con regularidad en Twitter.

Una vez descargada, instalada y ejecutada, la versión troyanizada de Slowloris borra el cliente botnet de Zeus, comienza a recolectar y enviar credenciales y cookies al servidor robado de C&C. Adicional a todo esto, la botnet ordena a la herramienta Slowloris de la computadora infectada del usuario que ataque objetivos de Anonymous y así la ilusión es completa.

"El usuario es engañado, ya que descargar estas herramientas troyanizadas, pude vincularlos a operaciones ilegales, además de poner en riesgo su propia banca en línea y sus credenciales de correo electrónico", indican los investigadores.

Parace imposible especular sobre si un miembro de "alto rango" de Anonymous está detrás de esto, dada la naturaleza del esquema del grupo de hackers.