Недавно обнаруженный бэкдор формирует из компьютеров-жертв ботнет, который используется для взлома учетных записей WordPress. Впоследствии взломанные аккаунты используются для дальнейшего распространения вредоносной программы.
Новый вредонос получил имя Sathurbot, для распространения он использует торренты. Схема следующая: на скомпрометированных сайтах размещаются якобы фильмы и бесплатное программное обеспечение, соответственно, пользователи, ищущие эти фильмы или программы, попадают на такие сайты.
Как «фильмы», так и «софт», загруженные с помощью этих торрент-файлов, содержат исполняемый файл, расчет сделан на то, чтобы заставить пользователя запустить его. После запуска исполняемый файл загружает DLL зловреда Sathurbot.
После запуска вредоносная программа информирует жертву о том, что ее машина стала ботом в сети Sathurbot. Затем бэкдор связывается с командным центром, это взаимодействие включает в себя отправку отчетов о статусе, получение команд и ссылок на загрузку других вредоносных программ.
«Sathurbot может обновляться, загружать и запускать другие исполняемые файлы. Мы наблюдали попытки загрузки и запуска Boaxxe, Kovter и Fleercivet» - исследователи безопасности ESET.
Sathurbot содержит более пяти тысяч базовых общих слов, случайно объединяющихся в 2-4 словосочетания, эти словосочетания используются в качестве строк запроса через популярные поисковые системы. Затем вредонос выбирает случайный фрагмент текста длиной 2-4 слова с каждой веб-страницы в результатах поиска и использует его для следующего этапа поисковых запросов.
Следующим шагом вредонос ищет сайты под управлением WordPress, однако эксперты утверждают, что бэкдор также интересуется Drupal, Joomla, PHP-NUKE, phpFox и DedeCMS.
нов сформирован, вредонос отправляет его боту в формате login:[email protected]. Далее, как утверждают исследователи ESET, боты пытаются подобрать данные для входа, используя пресловутый метод брутфорс. Чтобы избежать блокировки, каждый бот использует только одну попытку входа, переходя затем к следующему домену.
В ESET также отмечают, что Sathurbot использует в своих атаках XML-RPC API.
Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Очередная уязвимость обнаружена на устройствах под управлением операционной системы Android. Как сообщили исследователи Nightwatch Cybersecurity, брешь позволяет злоумышленникам следить за перемещением пользователей смартфонов и планшетов.
Проблема безопасности получила идентификатор CVE-2018-9581, она затрагивает показатель уровня принимаемого сигнала (или RSSI). RSSI отвечает за измерение уровня сигнала сети и передачу этой информации другим программам.
Благодаря уязвимости в системе сторонние приложения (например, вредоносные) могут свободно получить всю необходимую информацию о сигнале. Это поможет определить, в какой точке находится пользователь атакуемого устройства относительно маршрутизатора.
Эксперты протестировали следующие устройства: Pixel 2, Nexus 6P, Moto G4, Kindle Fire HD (8 gen). В Nightwatch Cybersecurity утверждают, что это уязвимости подвержены все версии Android.
С полной версией исследования можно ознакомиться по этой ссылке.
Подписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
