La firma de seguridad ESET ha informado de nuevos ataques asociados con una iteración de Sathurbot, un troyano de puerta trasera que ha infectado a más de 20,000 usuarios. Los investigadores dicen que la puerta trasera ha estado activo desde junio, 2016, y ha sido el uso de torrentes ilegales de películas piratas para colarse en los sistemas de las víctimas. Eso no es todo, sin embargo, Sathurbor como también comprometer sitios de WordPress a través de las páginas de fuerza bruta con la debilidad de las contraseñas de administrador. De esta manera el troyano está infectando a más sistemas, haciéndose más generalizada.
Relacionado: Actualmente TeslaCrypt propagarse a través de un Compromiso de WordPress Páginas y EK Nuclear
Red de Distribución de Troya Sathurbot
Según lo explicado por los investigadores, usuarios con el objetivo de descargar torrents (sobre todo películas pirateadas) son las principales víctimas de la Troya:
La película subpáginas de todos conducen a un mismo archivo torrent; mientras que todas las subpáginas de software llevan a otro archivo torrent. Cuando comience torrenting en su cliente de torrent favorito, se encuentra el archivo es también cabeza de serie, y por lo tanto aparece legítima.
El torrente película descargada será un archivo con una extensión de vídeo junto con un instalador de paquete de códecs visible y un archivo de texto explicativo. El torrente también tiene un ejecutable instalador aparente y un pequeño archivo de texto. El objetivo final aquí es atraer a la víctima potencial para que ejecute el exe que cargará la DLL Sathurbot.
Pero eso no es todo! “Sólo podría ocurrir que su motor de búsqueda favorito vuelve enlaces a torrentes en sitios que normalmente no tienen nada que ver con el intercambio de archivos. Que puede, sin embargo, ejecutar WordPress y simplemente se han comprometido,” el equipo de investigación se suma.
Descripción técnica general Sathurbot
En el arranque, Sathurbot recupera su servidor de comando y control con una consulta al DNS. La respuesta viene como un registro DNS TXT, El informe de ESET revela.
Su valor cadena hexadecimal se descifra y se utiliza como nombre de dominio de mando y control para los informes de estado, tarea de recuperación y para obtener enlaces a otras descargas de malware.
Además, Sathurbot decir la actualización de puerta trasera en sí, y se puede descargar e iniciar otros ejecutables. ESET ha visto variaciones de Boaxxe, Kovter y Fleercivet, pero más instancias de malware se pueden utilizar, así.
Rastreador web de Sathurbot
El troyano está equipado con más de 5,000 palabras genéricas básicas, combinado al azar para formar una 2-4 frase combinación que se utiliza una cadena de consulta a través de Google, Bing y Yandex.
De las páginas en cada una de las URL de los resultados de búsqueda, Cualquiera 2-4 palabra trozo de texto larga se selecciona (esta vez podría ser más significativa, ya que es a partir de texto reales) y se utiliza para la siguiente ronda de consultas de búsqueda.
El segundo grupo de resultados de la búsqueda se recoge para los nombres de dominio. A continuación, los nombres de dominio se comprueban si son creados por WordPress. Más específicamente, la respuesta de la dirección URL se comprueba: https://[nombre de dominio]/wp-login.php.
Relacionado: ¿Quién dirige WordPress que ha sido superado y las versiones de Drupal? corporaciones!
Sin embargo, no se realizan sólo comprueba el marco de WordPress. En una etapa siguiente, la página de índice raíz del dominio se obtiene y se analiza la presencia de otros marcos, como Drupal, Joomla, PHP-Nuke, brandka, y DedeCMS. Los dominios cosechados también se envían al servidor de comando y control. Sin embargo, este dominio es diferente que el de la puerta trasera, y es uno codificado.
"Diferentes robots en red de bots de Sathurbot tratan diferentes credenciales de inicio de sesión para el mismo sitio. Cada robot sólo se trata de un único inicio de sesión por sitio y sigue adelante. Este diseño ayuda a asegurar que el robot no recibe su dirección IP en la lista negra de cualquier sitio de destino y puede volver en el futuro,”Concluyen los investigadores.
Para evitar intrusiones no deseadas, asegúrese de mantener el sistema protegido en todo momento.
Escáner Spy Hunter sólo detectará la amenaza. Si desea que la amenaza se elimine de forma automática, usted necesita comprar la versión completa de la herramienta anti-malware.Obtenga más información sobre la herramienta de SpyHunter Anti-Malware / Cómo desinstalar SpyHunter
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: