empresa ESET segurança relatou novos ataques associados com uma iteração de Sathurbot, um Trojan backdoor que já infectou mais de 20,000 Comercial. Os pesquisadores dizem que o backdoor tem sido ativa desde junho, 2016, e tem vindo a utilizar torrentes ilegais de filmes pirateados para esgueirar-se para sistemas das vítimas. Isso não é tudo, Contudo, como Sathurbor também está comprometendo sites WordPress via páginas forçando bruta com senhas de administrador fracos. Desta forma, o Trojan infecta mais sistemas, tornando-se mais generalizada.
relacionado: TeslaCrypt Atualmente Propagação via comprometida Páginas WordPress e EK Nuclear
Distribuição Sathurbot Trojan de rede
Conforme explicado pelos pesquisadores, usuários com o objetivo de baixar torrents (filmes principalmente piratas) são as principais vítimas do Trojan:
O filme subpáginas todos levam para o mesmo arquivo torrent; enquanto todas as subpáginas de software levar a outro arquivo torrent. Quando você começa a fazer torrents no seu cliente de torrent favorito, você descobrirá que o arquivo está bem propagado e, portanto, parece legítimo.
O torrent de filme baixado será um arquivo com uma extensão de vídeo junto com um instalador de pacote de codec visível e um arquivo de texto explicativo. O torrent também tem um executável de instalação aparente e um pequeno arquivo de texto. O objetivo final aqui é atrair a vítima potencial para executar o exe que irá carregar o Sathurbot DLL.
Mas isso não é tudo! “Pode acontecer que o seu mecanismo de pesquisa favorito retorne links para torrents em sites que normalmente não têm nada a ver com compartilhamento de arquivos. Eles podem, Contudo, execute o WordPress e simplesmente tenha sido comprometido,” a equipe de pesquisa adiciona.
Visão geral técnica de Sathurbot
No arranque, Sathurbot recupera seu servidor de comando e controle com uma consulta ao DNS. A resposta vem como um registro DNS TXT, Relatório da ESET revela.
Seu valor de string hexadecimal é descriptografado e usado como o nome de domínio de comando e controle para relatórios de status, recuperação de tarefas e para obter links para outros downloads de malware.
Além disso, o backdoor Sathurbot pode se atualizar, e pode baixar e iniciar outros executáveis. ESET viu variações do Boaxxe, Kovter e Fleercivet, mas mais instâncias de malware também podem ser usadas.
Rastreador da Web de Sathurbot
O Trojan está equipado com mais 5,000 palavras genéricas básicas, combinados aleatoriamente para formar um 2-4 combinação de frase que é usada como string de consulta por meio do Google, Bing e Yandex.
Das páginas da web em cada um desses URLs de resultados de pesquisa, aleatório 2-4 o pedaço de texto longo da palavra está selecionado (desta vez, pode ser mais significativo, pois é de um texto real) e usado para a próxima rodada de consultas de pesquisa.
O segundo grupo de resultados de pesquisa é coletado para nomes de domínio. Em seguida, os nomes de domínio são verificados se foram criados pelo WordPress. Mais especificamente, a resposta para o URL é verificada: https://[nome do domínio]/wp-login.php.
relacionado: Quem dirige desatualizados versões do WordPress e Drupal? corporações!
Contudo, não apenas verificações para a estrutura do WordPress são realizadas. Em uma próxima fase, a página de índice raiz do domínio é obtida e verificada quanto à presença de outras estruturas, como o Drupal, Joomla, PHP-NUKE, phpFox, e DedeCMS. Os domínios colhidos também são enviados para o servidor de comando e controle. Contudo, este domínio é diferente daquele da porta dos fundos, e é um codificado.
“Diferentes bots no botnet de Sathurbot tentam diferentes credenciais de login para o mesmo site. Cada bot tenta apenas um único login por site e segue em frente. Este design ajuda a garantir que o bot não obtenha seu endereço IP na lista negra de nenhum site de destino e possa revisitá-lo no futuro,”Concluem os pesquisadores.
Para evitar intrusões indesejadas, certifique-se de manter seu sistema protegido em todos os momentos.
digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter