Sikkerhed firma ESET har rapporteret nye angreb er forbundet med en gentagelse af Sathurbot, en bagdør Trojan, der har inficeret mere end 20,000 brugere. Forskere siger, at bagdøren har været aktiv siden juni, 2016, og har brugt ulovlige torrents af piratkopierede film at snige sig ind ofrenes systemer. Det er ikke alle, dog, som Sathurbor også gå på kompromis med WordPress sites via brute-tvinger sider med svage admin passwords. På denne måde den trojanske er inficerer flere systemer, giver sig mere udbredt.
Relaterede: TeslaCrypt øjeblikket Spred via Kompromitteret WordPress sider og nuklear EK
Sathurbot Trojan Distribution Network
Som forklaret af forskerne, brugere har til formål at hente torrents (meste piratkopierede film) er de største ofre for den trojanske:
Filmen undersider alle føre til den samme torrent fil; mens alle software undersider føre til en anden torrent fil. Når du begynder torrenting i din foretrukne torrent-klient, vil du finde filen er vel-seedede og dermed synes legitim.
Den downloadede film torrent vil være en fil med en video udvidelse sammen med en synlig Codec Pack installatør og en forklarende tekst fil. Torrenten har også en tilsyneladende installatør eksekverbar og en lille tekstfil. Det endelige mål her er at lokke det potentielle offer til at køre exe som vil indlæse Sathurbot DLL.
Men det er ikke alt! “Det bare kan ske, at din foretrukne søgemaskine returnerer links til torrents på steder, der normalt ikke har noget at gøre med fildeling. de kan, dog, køre WordPress og har simpelthen blevet kompromitteret,” forskerholdet tilføjer.
Sathurbot Teknisk oversigt
Ved opstart, Sathurbot henter sin kommando og kontrol-server med en forespørgsel til DNS. Svaret kommer som en DNS TXT-post, ESET rapport afslører.
Dens hex streng værdi dekrypteres og bruges som kommando og kontrol domænenavn for statusrapportering, opgave hentning og få links til andre malware downloads.
Derudover, Sathurbot siger selv bagdøren opdatering, og det kan downloade og starte andre eksekverbare filer. ESET har set variationer af Boaxxe, Kovter og Fleercivet, men flere malware tilfælde kan anvendes såvel.
Sathurbot webcrawler
Den trojanske er udstyret med over 5,000 grundlæggende generiske ord, kombineret tilfældigt til dannelse af en 2-4 sætning kombination, som der anvendes en query string via Google, Bing og Yandex.
Fra websider på hvert af disse søgeresultat URL'er, en tilfældig 2-4 ord lang tekst luns er valgt (denne gang kan det være mere meningsfuld, da det er fra virkelige tekst) og anvendes til den næste runde af søgeforespørgsler.
Den anden flok af søgeresultaterne er indsamlet til domænenavne. Så domænenavne kontrolleres, om de er skabt af WordPress. Mere specifikt, svaret i URL er markeret: https://[domænenavn]/wp-login.php.
Relaterede: Hvem Kører Forældet WordPress og Drupal Versioner? Selskaber!
Men, ikke kun checks for rammerne WordPress udføres. På et næste trin, roden indeks side af domænet er opnået og kontrolleret for tilstedeværelsen af andre rammer såsom Drupal, Joomla, PHP-NUKE, PHPFOX, og DedeCMS. De høstede domæner er også sendt til kommando og kontrol-server. Men, dette domæne er anderledes end den, for bagdør, og det er en hardcodede én.
"Forskellige bots i Sathurbot s botnet prøve forskellige login-oplysninger til samme sted. Hver bot forsøger kun et enkelt login per site og bevæger sig på. Dette design er med til at sikre, at bot ikke bliver sin IP-adresse blacklistet fra enhver målrettet website og kan revidere i fremtiden,”Konkluderer forskerne.
For at undgå uønsket indtrængen, Sørg for at holde dit system beskyttet på alle tidspunkter.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter