Sicherheitsfirma ESET hat neue Angriffe berichtet im Zusammenhang mit einer Iteration von Sathurbot, ein Backdoor-Trojaner, der mehr als infiziert 20,000 Benutzer. Forscher sagen, dass die Backdoor seit Juni aktiv ist, 2016, und wurde mit illegalen Torrents von raubkopierter Filme in der Opfer-Systeme schleichen. Das ist nicht alles, jedoch, wie Sathurbor kompromittiert auch Wordpress-Seiten über Brute-Forcing Seiten mit schwachen Admin-Passwörter. Auf diese Weise der Trojaner weitere Systeme zu infizieren, macht sich weiter verbreitet.
verbunden: TeslaCrypt Derzeit verbreiten über Compromised Wordpress-Seiten und Nuclear EK
Sathurbot Trojan Distribution Network
Wie von den Forschern erklärt, Benutzer Ziel Torrents zum Download (meist Raubkopien von Filmen) die Hauptopfer des Trojaners sind:
Der Film Unterseiten führen alle zur gleichen Torrent-Datei; während der gesamten Software subpages an einem anderen Torrent-Datei führen. Wenn Sie torrenting in Ihrem Lieblings-Torrent-Client beginnen, Sie wird die Datei ist gut ausgesät finden und somit legitim erscheint.
Der heruntergeladenen Film torrent wird eine Datei mit einer Video-Erweiterung sein zusammen mit einem sichtbaren Codec-Pack-Installationsprogramm und einer erläuternden Textdatei. Der Strom auch eine scheinbare Installer ausführbare Datei und eine kleine Textdatei. Das Endziel ist es, das Potenzial Opfer in Laufen die exe zu locken, die die Sathurbot DLL geladen wird,.
Aber das ist nicht alles! “Es könnte nur passieren, dass Ihre Lieblings-Suchmaschine Links zu Torrents auf Websites gibt, die normalerweise nichts mit File-Sharing zu tun. Sie können, jedoch, laufen Wordpress und haben einfach kompromittiert,” das Forschungsteam ergänzt.
Sathurbot Technischer Überblick
Beim Start, Sathurbot ruft seinen Kommando- und Kontrollserver mit einer Abfrage zu DNS. Die Antwort kommt als DNS-TXT-Datensatz, ESET-Bericht enthüllt.
Sein Hex-String-Wert wird als Kommando- und Kontroll Domain-Namen für Statusberichte entschlüsseln und verwendet, Task-Retrieval und Links zu anderen Malware-Downloads zu erhalten.
Zusätzlich, Sathurbot sagen das Backdoor-Update selbst, und es kann herunterladen und andere ausführbare Dateien starten. ESET hat Variationen von Boaxxe gesehen, Kovter und Fleercivet, aber mehr Malware-Instanzen können auch verwendet werden,.
Sathurbot Web-Crawler
Der Trojaner ist mit über ausgestattet 5,000 Grundgattungsbegriffe, zufällig kombinierten a zu bilden 2-4 Phrase Kombination, die eine Abfrage-String über Google verwendet wird, Bing und Yandex.
Von den Web-Seiten an jeden dieses Suchergebnis-URLs, eine zufällige 2-4 Wort langer Textabschnitt ausgewählt (diesmal könnte es sinnvoller sein, wie es aus dem wirklichen Text ist) und für die nächste Runde der Suchanfrage verwendet.
Die zweite Gruppe von Suchergebnissen für Domain-Namen gesammelt. Dann werden die Domain-Namen überprüft, ob sie mit Wordpress erstellt werden. Genauer, die Antwort auf die URL wird überprüft: https://[domain_name]/wp-login.php.
verbunden: Wer betreibt veraltete Wordpress und Drupal-Versionen? Unternehmen!
Jedoch, prüft nicht nur für den Rahmen Wordpress werden durchgeführt. Auf der nächsten Stufe, die Wurzel Indexseite der Domäne ist für das Vorhandensein von anderen Frameworks wie Drupal erhalten und überprüft,, Joomla, PHP-Nuke, phpFox, und DedeCMS. Die geernteten Domänen sind ebenfalls mit dem Steuer- und Kontrollserver gesendet. Jedoch, Diese Domain ist anders als die für die Hintertür, und es ist eine hartkodierte ein.
"Verschiedene Bots in Sathurbot des Botnetzes versuchen, verschiedene Login-Daten für den gleichen Standort. Jeder Bot versucht, nur einen einzigen Login pro Standort und bewegt sich auf. Diese Konstruktion stellt sicher, dass der Bot seine IP-Adresse erhält nicht von jeder Zielstelle eine schwarze Liste gesetzt und können in der Zukunft wieder besuchen,“, Schließen die Forscher.
Um zu vermeiden, unerwünschte Eingriffe, sicherstellen, dass Ihr System jederzeit geschützt halten.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren