ESET: Ботнет Sathurbot атакует WordPress

Олег Иванов 10 Апреля 2017 - 09:58

Домашние пользователи

...

Недавно обнаруженный бэкдор формирует из компьютеров-жертв ботнет, который используется для взлома учетных записей WordPress. Впоследствии взломанные аккаунты используются для дальнейшего распространения вредоносной программы.

Новый вредонос получил имя Sathurbot, для распространения он использует торренты. Схема следующая: на скомпрометированных сайтах размещаются якобы фильмы и бесплатное программное обеспечение, соответственно, пользователи, ищущие эти фильмы или программы, попадают на такие сайты.

Как «фильмы», так и «софт», загруженные с помощью этих торрент-файлов, содержат исполняемый файл, расчет сделан на то, чтобы заставить пользователя запустить его. После запуска исполняемый файл загружает DLL зловреда Sathurbot.

После запуска вредоносная программа информирует жертву о том, что ее машина стала ботом в сети Sathurbot. Затем бэкдор связывается с командным центром, это взаимодействие включает в себя отправку отчетов о статусе, получение команд и ссылок на загрузку других вредоносных программ.

«Sathurbot может обновляться, загружать и запускать другие исполняемые файлы. Мы наблюдали попытки загрузки и запуска Boaxxe, Kovter и Fleercivet» - предупреждают исследователи безопасности ESET.

Sathurbot содержит более пяти тысяч базовых общих слов, случайно объединяющихся в 2-4 словосочетания, эти словосочетания используются в качестве строк запроса через популярные поисковые системы. Затем вредонос выбирает случайный фрагмент текста длиной 2-4 слова с каждой веб-страницы в результатах поиска и использует его для следующего этапа поисковых запросов.

Следующим шагом вредонос ищет сайты под управлением WordPress, однако эксперты утверждают, что бэкдор также интересуется Drupal, Joomla, PHP-NUKE, phpFox и DedeCMS.

нов сформирован, вредонос отправляет его боту в формате login:password@domain. Далее, как утверждают исследователи ESET, боты пытаются подобрать данные для входа, используя пресловутый метод брутфорс. Чтобы избежать блокировки, каждый бот использует только одну попытку входа, переходя затем к следующему домену.

В ESET также отмечают, что Sathurbot использует в своих атаках XML-RPC API.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 06 Ноября 2025 - 14:53

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Кривой октябрьский апдейт Windows вновь пробудил BitLocker Recovery Mode

Установка последних накопительных обновлений для Windows 10 и 11 вернула прежнюю проблему. Пользователи стали жаловаться, что после перезагрузки система автоматом уходит в режим обновления BitLocker (Recovery Mode).

Речь идет об апдейтах KB5066791 и KB5066835. По словам разработчиков, затронуты лишь клиентские Windows (10 22H2, 11 24H2 и 11 25H2) на компьютерах с чипами Intel и поддержкой режима ожидания с подключением (Connected Standby).

Ранее конфликтов между Standby и BitLocker Recovery Mode, который обычно включается при смене аппаратного обеспечения или прошивки, не наблюдалось.

При появлении экрана BitLocker Recovery следует ввести соответствующий ключ для разблокировки защищенных данных. Он хранится в настройках аккаунта Microsoft, и в случае нужды его можно раздобыть со смартфона.

Без заветного ключа данные на дисках, прежде всего на C, будут безвозвратно потеряны. В Microsoft уже работают над устранением проблемы и пытаются откатить некоторые обновления через KIR.

К сожалению, жалобы на BitLocker и автоматическое шифрование данных на Windows-устройствах стали общим местом. Из-за осложнений, возникающих из-за дефолтно включенного защитного механизма и его конфликтов с апдейтами, пользователи стали терять доступ к важным данным едва ли не чаще, чем в результате кибератак.

ESET: Ботнет Sathurbot атакует WordPress

Читайте также