Beveiligingsbedrijf ESET heeft nieuwe aanvallen geassocieerd met een iteratie van Sathurbot gemeld, een Trojaans paard dat meer dan heeft besmet 20,000 gebruikers. Onderzoekers zeggen dat de achterdeur actief is sinds juni, 2016, en is het gebruik van illegale torrents illegaal gekopieerde films te sluipen in systemen slachtoffers. Dat is niet alles, echter, als Sathurbor wordt ook afbreuk te doen aan WordPress-sites via-brute dwingen pagina's met zwakke admin wachtwoorden. Op deze manier het Trojaanse paard infecteert meer systemen, maken zich op grotere schaal.
Verwant: TeslaCrypt momenteel verdeeld via onveilige WordPress pagina's en Nuclear EK
Sathurbot Trojan Distribution Network
Zoals uitgelegd door de onderzoekers, gebruikers gericht op torrents downloaden (meestal illegaal gekopieerde films) zijn de belangrijkste slachtoffers van de Trojan:
De film subpagina's leiden allemaal tot dezelfde torrent-bestand; terwijl alle software subpagina's leiden tot een andere torrent-bestand. Wanneer je begint torrenting in uw favoriete torrent-client, vindt u de file is goed geplaatste en lijkt daarmee legitieme.
De gedownloade film torrent zal een bestand met de video-extensie samen met een zichtbare codec pack installer en een verklarende tekst bestand. De torrent heeft ook een schijnbare installateur uitvoerbaar en een klein tekstbestand. Het uiteindelijke doel is hier om het potentieel slachtoffer te lokken in het uitvoeren van het exe die de Sathurbot DLL wordt geladen.
Maar dat is niet alles! “Het zou wel eens gebeuren dat uw favoriete zoekmachine terug links naar torrents op sites die normaal gesproken niets te maken met het delen van bestanden. Zij mogen, echter, gerund WordPress en hebben gewoon gecompromitteerd,” het onderzoeksteam voegt.
Sathurbot Technisch overzicht
bij het opstarten, Sathurbot haalt haar command and control-server met een vraag naar DNS. Het antwoord komt als een DNS TXT-record, verslag van ESET's onthult.
De hex tekenreekswaarde wordt gedecodeerd en gebruikt als de command and control domeinnaam voor statusrapportage, taak ophalen en links naar andere malware downloads krijgen.
Bovendien, Sathurbot zeggen dat de achterdeur geactualiseerde programma zelf, en het kan downloaden en beginnen andere uitvoerbare. ESET variaties van Boaxxe gezien, Kovter en Fleercivet, maar malware gevallen kunnen eveneens worden gebruikt.
Sathurbot's Web Crawler
Het Trojaanse paard is uitgerust met meer dan 5,000 basic algemene woorden, willekeurig gecombineerd ter vorming 2-4 frase combinatie die wordt gebruik gemaakt van een query string via Google, Bing en Yandex.
Van de webpagina's op elk van de URL's van zoekresultaten, een willekeurige 2-4 woord lange tekst brok is geselecteerd (deze keer is het misschien zinvoller zijn zoals het is van echte tekst) en gebruikt voor de volgende ronde van de zoekopdrachten.
De tweede groep van de zoekresultaten wordt verzameld voor domeinnamen. Dan is de domeinnamen worden gecontroleerd of ze zijn gemaakt door WordPress. Specifieker, het antwoord voor de URL wordt gecontroleerd: https://[domeinnaam]/wp-login.php.
Verwant: Who Runs Verouderde WordPress en Drupal Versies? Corporations!
Echter, controleert niet alleen voor de WordPress framework worden uitgevoerd. Op een volgende fase, de wortel indexpagina van het domein wordt verkregen en gecontroleerd op de aanwezigheid van andere frameworks zoals Drupal, Joomla, PHP-NUKE, phpFox, en DedeCMS. De geoogste domeinen worden ook naar de command and control server. Echter, dit domein is anders dan die voor de achterdeur, en het is een hardcoded één.
"Verschillende bots in botnet Sathurbot proberen verschillende aanmeldingsgegevens voor dezelfde site. Elke bot probeert slechts een enkele login per site en gaat door. Dit ontwerp zorgt ervoor dat het bot niet het IP-adres krijgt de zwarte lijst van enige gerichte site en kan opnieuw in de toekomst,”Concluderen de onderzoekers.
Om ongewenste indringers te voorkomen, zorg ervoor dat uw systeem te allen tijde beveiligd te houden.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter