Sathurbot malware se propaga a través de archivos Torrent, los ataques se dirigen a sitios de WordPress
Los investigadores de seguridad de ESET han descubierto un nuevo malware llamado Sathurbot que se basa en los archivos del torrent maliciosos a extenderse a nuevas víctimas y lleva a cabo ataques coordinados de fuerza bruta en sitios de WordPress.
El propósito de este malware es ayudar a los ladrones a conseguir sitios de WordPress, que luego se pueden utilizar para albergar cualquier cosa de SEO spam.
La cadena de infección comienza cuando los usuarios buscan un torrent de película en motores de búsqueda como Google, Bing o Yandex.
El uso de sitios de WordPress previamente comprometidos, los atacantes crean páginas ocultas en estos sitios web donde se alojan una página de descarga de torrent. Aprovechando el buen ranking en los motores de búsqueda del sitio original, algunos de estos resultados aparecen prominentemente en las listas de búsqueda.
El torrent descargará un archivo de película, un instalador de paquete de codecs, y un archivo de texto que explica al usuario que tiene que ejecutar el instalador códec en primer lugar, con el fin de ver la película.
Este instalador contiene el malware Sathurbot. Cuando se ejecuta, se mostrará un mensaje de error alegando un error durante la descarga, pero en realidad, la infección Sathurbot ya ha echado raíces en ese momento.
Después de la instalación, Sathurbot realiza una consulta DNS que devolverá la dirección de su primer servidor C & C (comando y control). Este primer servidor C & C puede decir que para llevar a cabo una de dos acciones. Se puede instruir a descargar malware adicional (Boaxxe, Kovter o Fleercivet), o llevar a cabo una serie de consultas de búsqueda.
Mientras que la primera acción es rutinario para la mayoría de las operaciones de botnets de malware, la segunda parte es más interesante, ya que conduce a ataques de fuerza bruta en los sitios de WordPress.
Esto comienza con el servidor C & C el envío de la PC infectada una lista de más de 5.000 palabras. El equipo infectado elige 2-4 palabras, las consultas de Google, Bing o Yandex, y recupera las primeras páginas de resultados. A continuación, selecciona otro conjunto de 2-4 palabras que comúnmente se encuentran en el primer grupo de resultados de búsqueda y consulta los motores de búsqueda de nuevo.
Por último, el robot selecciona los tres primeros resultados de búsqueda, extrae los nombres de dominio, y trata de identificar si alguno de ellos se está ejecutando en WordPress mediante la búsqueda de la URL http: //domain/wp-login.php. Si el robot encuentra un sitio de WordPress, informa del dominio a un segundo servidor C & C.
Este servidor secundario es donde se coordinan los ataques de fuerza bruta. El servidor se inicia mediante la asignación de cada bot un nombre de usuario y contraseña para comprobar la disponibilidad para cada dominio. Sin bot intenta iniciar sesión en un sitio más de una vez, como para evitar ser incluidos en listas negras.
De acuerdo con ESET, el tamaño de esta botnet es aproximadamente de 20.000 robots, lo que significa que el servidor C & C tiene 20.000 posibilidades de adivinar la contraseña de cualquier sitio.
Si se rompen con éxito en un sitio, los atacantes utilizan para alojar otros archivos torrent, SEO correo no deseado, descargas de malware, o servidores C & C para otras operaciones. En este punto, toda la operación entra en un círculo vicioso.
Fecha actualización el 2017-4-7. Fecha publicación el 2017-4-7. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio Fuente: bleepingcomputer