Casa > cibernético Notícias > Trojan Sathurbot: Outra razão para não baixar torrents
CYBER NEWS

Trojan Sathurbot: Outra razão para não baixar torrents

empresa ESET segurança relatou novos ataques associados com uma iteração de Sathurbot, um Trojan backdoor que já infectou mais de 20,000 Comercial. Os pesquisadores dizem que o backdoor tem sido ativa desde junho, 2016, e tem vindo a utilizar torrentes ilegais de filmes pirateados para esgueirar-se para sistemas das vítimas. Isso não é tudo, Contudo, como Sathurbor também está comprometendo sites WordPress via páginas forçando bruta com senhas de administrador fracos. Desta forma, o Trojan infecta mais sistemas, tornando-se mais generalizada.

relacionado: TeslaCrypt Atualmente Propagação via comprometida Páginas WordPress e EK Nuclear

Distribuição Sathurbot Trojan de rede

Conforme explicado pelos pesquisadores, usuários com o objetivo de baixar torrents (filmes principalmente piratas) são as principais vítimas do Trojan:

O filme subpáginas todos levam para o mesmo arquivo torrent; enquanto todas as subpáginas de software levar a outro arquivo torrent. Quando você começa a fazer torrents no seu cliente de torrent favorito, você descobrirá que o arquivo está bem propagado e, portanto, parece legítimo.

O torrent de filme baixado será um arquivo com uma extensão de vídeo junto com um instalador de pacote de codec visível e um arquivo de texto explicativo. O torrent também tem um executável de instalação aparente e um pequeno arquivo de texto. O objetivo final aqui é atrair a vítima potencial para executar o exe que irá carregar o Sathurbot DLL.

Mas isso não é tudo! “Pode acontecer que o seu mecanismo de pesquisa favorito retorne links para torrents em sites que normalmente não têm nada a ver com compartilhamento de arquivos. Eles podem, Contudo, execute o WordPress e simplesmente tenha sido comprometido,” a equipe de pesquisa adiciona.

Visão geral técnica de Sathurbot

No arranque, Sathurbot recupera seu servidor de comando e controle com uma consulta ao DNS. A resposta vem como um registro DNS TXT, Relatório da ESET revela.

Seu valor de string hexadecimal é descriptografado e usado como o nome de domínio de comando e controle para relatórios de status, recuperação de tarefas e para obter links para outros downloads de malware.

Além disso, o backdoor Sathurbot pode se atualizar, e pode baixar e iniciar outros executáveis. ESET viu variações do Boaxxe, Kovter e Fleercivet, mas mais instâncias de malware também podem ser usadas.

Rastreador da Web de Sathurbot

O Trojan está equipado com mais 5,000 palavras genéricas básicas, combinados aleatoriamente para formar um 2-4 combinação de frase que é usada como string de consulta por meio do Google, Bing e Yandex.

Das páginas da web em cada um desses URLs de resultados de pesquisa, aleatório 2-4 o pedaço de texto longo da palavra está selecionado (desta vez, pode ser mais significativo, pois é de um texto real) e usado para a próxima rodada de consultas de pesquisa.

O segundo grupo de resultados de pesquisa é coletado para nomes de domínio. Em seguida, os nomes de domínio são verificados se foram criados pelo WordPress. Mais especificamente, a resposta para o URL é verificada: https://[nome do domínio]/wp-login.php.

relacionado: Quem dirige desatualizados versões do WordPress e Drupal? corporações!

Contudo, não apenas verificações para a estrutura do WordPress são realizadas. Em uma próxima fase, a página de índice raiz do domínio é obtida e verificada quanto à presença de outras estruturas, como o Drupal, Joomla, PHP-NUKE, phpFox, e DedeCMS. Os domínios colhidos também são enviados para o servidor de comando e controle. Contudo, este domínio é diferente daquele da porta dos fundos, e é um codificado.

Diferentes bots no botnet de Sathurbot tentam diferentes credenciais de login para o mesmo site. Cada bot tenta apenas um único login por site e segue em frente. Este design ajuda a garantir que o bot não obtenha seu endereço IP na lista negra de nenhum site de destino e possa revisitá-lo no futuro,”Concluem os pesquisadores.


Para evitar intrusões indesejadas, certifique-se de manter seu sistema protegido em todos os momentos.


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo