Trojan Sathurbot: Outra razão para não baixar torrents
CYBER NEWS

Trojan Sathurbot: Outra razão para não baixar torrents

empresa ESET segurança relatou novos ataques associados com uma iteração de Sathurbot, um Trojan backdoor que já infectou mais de 20,000 Comercial. Os pesquisadores dizem que o backdoor tem sido ativa desde junho, 2016, e tem vindo a utilizar torrentes ilegais de filmes pirateados para esgueirar-se para sistemas das vítimas. Isso não é tudo, Contudo, como Sathurbor também está comprometendo sites WordPress via páginas forçando bruta com senhas de administrador fracos. Desta forma, o Trojan infecta mais sistemas, tornando-se mais generalizada.

relacionado: TeslaCrypt Atualmente Propagação via comprometida Páginas WordPress e EK Nuclear

Distribuição Sathurbot Trojan de rede

Conforme explicado pelos pesquisadores, usuários com o objetivo de baixar torrents (filmes principalmente piratas) são as principais vítimas do Trojan:

O filme subpáginas todos levam para o mesmo arquivo torrent; enquanto todas as subpáginas de software levar a outro arquivo torrent. When you begin torrenting in your favorite torrent client, you will find the file is well-seeded and thus appears legitimate.

The downloaded movie torrent will be a file with a video extension together with a visible codec pack installer and an explanatory text file. The torrent too has an apparent installer executable and a small text file. The end goal here is to lure the potential victim into running the exe which will load the Sathurbot DLL.

Mas isso não é tudo! “It just might happen that your favorite search engine returns links to torrents on sites that normally have nothing to do with file sharing. They may, Contudo, run WordPress and have simply been compromised,” the research team adds.

Sathurbot Technical Overview

On startup, Sathurbot retrieves its command and control server with a query to DNS. The response comes as a DNS TXT record, ESET’s report revela.

Its hex string value is decrypted and used as the command and control domain name for status reporting, task retrieval and to get links to other malware downloads.

Além disso, the Sathurbot backdoor can update itself, and it can download and start other executables. ESET has seen variations of Boaxxe, Kovter and Fleercivet, but more malware instances can be used as well.

Sathurbot’s Web Crawler

The Trojan is equipped with over 5,000 basic generic words, randomly combined to form a 2-4 phrase combination which is used a query string via Google, Bing e Yandex.

From the webpages at each of those search result URLs, a random 2-4 word long text chunk is selected (this time it might be more meaningful as it is from real text) and used for the next round of search queries.

The second bunch of search results is collected for domain names. Then the domain names are checked whether they are created by WordPress. Mais especificamente, the response for the URL is checked: http://[domain_name]/wp-login.php.

relacionado: Quem dirige desatualizados versões do WordPress e Drupal? corporações!

Contudo, not only checks for the WordPress framework are performed. On a next stage, the root index page of the domain is obtained and checked for the presence of other frameworks such as Drupal, Joomla, PHP-NUKE, phpFox, and DedeCMS. The harvested domains are also sent to the command and control server. Contudo, this domain is different than the one for the backdoor, and it’s a hardcoded one.

Different bots in Sathurbot’s botnet try different login credentials for the same site. Every bot only attempts a single login per site and moves on. This design helps ensure that the bot doesn’t get its IP address blacklisted from any targeted site and can revisit in the future,”Concluem os pesquisadores.


To avoid unwanted intrusions, make sure to keep your system protected at all times.

Baixar

Remoção de Malware Ferramenta


digitalizador Spy Hunter só irá detectar a ameaça. Se você quiser a ameaça de ser removido automaticamente, você precisa comprar a versão completa da ferramenta anti-malware.Saiba Mais Sobre SpyHunter Anti-Malware Ferramenta / Como desinstalar o SpyHunter

Milena Dimitrova

Milena Dimitrova

Um escritor inspirado e gerenciador de conteúdo que foi com SensorsTechForum desde o início. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

limite de tempo está esgotado. Recarregue CAPTCHA.

Compartilhar no Facebook Compartilhar
Carregando...
Compartilhar no Twitter chilrear
Carregando...
Compartilhar no Google Plus Compartilhar
Carregando...
Partilhar no Linkedin Compartilhar
Carregando...
Compartilhar no Digg Compartilhar
Compartilhar no Reddit Compartilhar
Carregando...
Partilhar no StumbleUpon Compartilhar
Carregando...