entreprise de sécurité ESET a de nouvelles attaques signalées associées à une itération de Sathurbot, un cheval de Troie de porte dérobée qui en a infecté plus de 20,000 utilisateurs. Les chercheurs disent que la porte dérobée est actif depuis Juin, 2016, et a été en utilisant des torrents illégaux de films piratés pour se faufiler dans les systèmes des victimes. Cela ne veut pas tout, cependant, comme Sathurbor compromet également les sites WordPress par pages avec force brute faibles mots de passe admin. De cette façon, le cheval de Troie infecte plus de systèmes, se faisant plus répandue.
en relation: TeslaCrypt Actuellement Propagation via Compromised WordPress Pages et EK nucléaire
Sathurbot réseau de distribution cheval de Troie
Comme expliqué par les chercheurs, utilisateurs visant à télécharger des torrents (la plupart des films piratés) sont les principales victimes du cheval de Troie:
Le film sous-pages conduisent tous au même fichier torrent; alors que tous les sous-pages de logiciels mènent à un autre fichier torrent. Lorsque vous commencez torrenting dans votre client torrent préféré, vous trouverez le fichier est bien tête de série et donc apparaît légitime.
Le torrent de film téléchargé sera un fichier avec une extension vidéo avec un programme d'installation de pack de codecs visible et un fichier texte explicatif. Le torrent a aussi un exécutable d'installation apparente et un petit fichier texte. L'objectif final est d'attirer ici la victime potentielle dans l'exécution de l'exe qui charge la DLL Sathurbot.
Mais ce n'est pas tout! “Il pourrait arriver que votre moteur de recherche préféré retourne des liens vers des torrents sur des sites qui ont normalement rien à voir avec le partage de fichiers. Ils peuvent, cependant, exécuter WordPress et ont tout simplement été compromis,” l'équipe de recherche ajoute.
Sathurbot Présentation technique
Au démarrage, Sathurbot récupère son serveur de commande et de contrôle avec une requête à DNS. La réponse se présente comme un enregistrement DNS TXT, Le rapport d'ESET révèle.
Sa valeur de chaîne hexagonale est déchiffré et utilisé comme la commande et de contrôle nom pour les rapports d'état de domaine, la tâche de récupération et d'obtenir des liens vers d'autres téléchargements de logiciels malveillants.
Plus, Sathurbot dire la mise à jour porte dérobée lui-même, et il peut télécharger et commencer à d'autres executables. ESET a vu des variations de Boaxxe, Kovter et Fleercivet, mais plusieurs instances de logiciels malveillants peuvent être utilisés aussi bien.
Web Crawler de Sathurbot
Le cheval de Troie est équipé de plus de 5,000 mots génériques de base, combinée de manière aléatoire pour former un 2-4 phrase combinaison qui est utilisé une chaîne de requête via Google, Bing et Yandex.
A partir des pages Web à chacune de ces URL de résultats de recherche, un hasard 2-4 mot morceau long texte est sélectionné (cette fois, il pourrait être plus significatif car il est de vrai texte) et utilisé pour la prochaine série de requêtes de recherche.
Le deuxième groupe de résultats de recherche sont collectées pour les noms de domaine. Ensuite, les noms de domaine sont vérifiées si elles sont créés par WordPress. Plus précisement, la réponse de l'URL est cochée: https://[nom de domaine]/wp-login.php.
en relation: Qui dirige WordPress Périmé et versions Drupal? corporations!
Cependant, non seulement pour le cadre des contrôles sont effectués WordPress. Sur une étape suivante, la page d'index racine du nom de domaine est obtenue et vérifiée pour la présence d'autres cadres, tels que Drupal, Joomla, PHP-Nuke, phpFox, et DedeCMS. Les domaines récoltés sont également envoyés à la commande et de contrôle du serveur. Cependant, ce domaine est différent de celui de la porte dérobée, et il est un hardcoded.
"Différents bots dans le botnet de Sathurbot essayer différentes informations de connexion pour le même site. Chaque bot ne tente une connexion unique par site et se déplace. Cette conception permet de garantir que le robot ne soit pas son adresse IP sur la liste noire de tout site ciblé et peut revenir à l'avenir,» Concluent les chercheurs.
Pour éviter les intrusions indésirables, assurez-vous de garder votre système protégé en tout temps.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: