società di sicurezza ESET ha riportato nuovi attacchi associati con un'iterazione del Sathurbot, un Trojan backdoor che ha infettato più di 20,000 utenti. I ricercatori dicono che la backdoor è attivo dal giugno, 2016, ed è stato utilizzando i torrent illegali di film pirata di intrufolarsi nei sistemi delle vittime. Questo non è tutto, tuttavia, come Sathurbor è anche compromettere siti WordPress tramite pagine bruta costringendo con password di admin deboli. In questo modo il Trojan sta infettando più sistemi, rendendosi più diffusa.
Correlata: TeslaCrypt Attualmente diffondersi attraverso compromessa WordPress pagine e EK nucleare
Sathurbot Trojan Rete di Distribuzione
Come spiegato dai ricercatori, gli utenti al fine di scaricare torrents (film per lo più piratati) sono le principali vittime del Trojan:
Il film sottopagine tutti portano allo stesso file torrent; mentre tutte le sottopagine software portano ad un altro file torrent. Quando si inizia torrenting nel vostro client torrent preferito, troverete il file è ben seminato e appare quindi legittima.
Il torrente di film scaricato sarà un file con un video di estensione insieme ad un programma di installazione codec pack visibile e un file di testo esplicativo. Il torrente ha anche un eseguibile di installazione apparente e un piccolo file di testo. L'obiettivo finale è quello di attirare il potenziale vittima ad attivare l'exe che caricare la DLL Sathurbot.
Ma non è tutto! “E 'solo potrebbe accadere che il vostro motore di ricerca preferito torna link ai torrent su siti che normalmente non hanno nulla a che fare con la condivisione di file. essi possono, tuttavia, eseguire WordPress e sono stati semplicemente compromessi,” il team di ricerca aggiunge.
Sathurbot Panoramica tecnica
All'avvio, Sathurbot recupera il suo server di comando e controllo con una query a DNS. La risposta arriva come un record DNS TXT, rapporto di ESET rivela.
Il suo valore stringa esadecimale viene decifrato e utilizzato come il nome di dominio di comando e controllo per la segnalazione dello stato, compito di recupero e per ottenere dei link ad altri download di malware.
Inoltre, Sathurbot dire l'aggiornamento backdoor stessa, e si può scaricare e avviare altri eseguibili. ESET ha visto variazioni di Boaxxe, Kovter e Fleercivet, ma più istanze di malware può essere utilizzato come bene.
Web Crawler di Sathurbot
Il Trojan è dotato di oltre 5,000 parole generiche di base, casualmente combinati per formare un 2-4 combinazione frase che viene utilizzata una stringa di query tramite Google, Bing e Yandex.
Dalle pagine web in ciascuno di questi URL dei risultati di ricerca, un caso 2-4 parola pezzo lungo testo viene selezionato (questa volta potrebbe essere più significativo in quanto è da un testo vero e proprio) e utilizzato per la prossima tornata di query di ricerca.
Il secondo gruppo di risultati della ricerca sono raccolti per i nomi di dominio. Poi i nomi di dominio vengono controllati se essi sono creati da WordPress. Più specificamente, la risposta per l'URL viene controllato: https://[nome del dominio]/wp-login.php.
Correlata: Chi gestisce WordPress antiquato e versioni Drupal? corporazioni!
Tuttavia, non vengono eseguiti solo i controlli per il quadro WordPress. In una fase successiva, la pagina indice radice del dominio è ottenuto e controllato per la presenza di altri framework come Drupal, Joomla, PHP-Nuke, phpFox, e DedeCMS. I domini raccolte vengono anche inviati al server di comando e controllo. Tuttavia, Questo dominio è diverso da quello per la backdoor, ed è uno hardcoded.
"Diverse bot in botnet di Sathurbot cercano credenziali di accesso diversi per lo stesso sito. Ogni bot tenta un solo login per sito e si muove su. Questo design contribuisce a garantire che il bot non ottenere il suo indirizzo IP nella lista nera da qualsiasi sito mirato e in grado di rivisitare in futuro,”Concludono i ricercatori.
Per evitare intrusioni indesiderate, fare in modo di mantenere il sistema protetto in ogni momento.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter