ESET: Ботнет Sathurbot атакует WordPress

ESET: Ботнет Sathurbot атакует WordPress

ESET: Ботнет Sathurbot атакует WordPress

Недавно обнаруженный бэкдор формирует из компьютеров-жертв ботнет, который используется для взлома учетных записей WordPress. Впоследствии взломанные аккаунты используются для дальнейшего распространения вредоносной программы.

Новый вредонос получил имя Sathurbot, для распространения он использует торренты. Схема следующая: на скомпрометированных сайтах размещаются якобы фильмы и бесплатное программное обеспечение, соответственно, пользователи, ищущие эти фильмы или программы, попадают на такие сайты.

Как «фильмы», так и «софт», загруженные с помощью этих торрент-файлов, содержат исполняемый файл, расчет сделан на то, чтобы заставить пользователя запустить его. После запуска исполняемый файл загружает DLL зловреда Sathurbot.

После запуска вредоносная программа информирует жертву о том, что ее машина стала ботом в сети Sathurbot. Затем бэкдор связывается с командным центром, это взаимодействие включает в себя отправку отчетов о статусе, получение команд и ссылок на загрузку других вредоносных программ.

«Sathurbot может обновляться, загружать и запускать другие исполняемые файлы. Мы наблюдали попытки загрузки и запуска Boaxxe, Kovter и Fleercivet» - предупреждают исследователи безопасности ESET.

Sathurbot содержит более пяти тысяч базовых общих слов, случайно объединяющихся в 2-4 словосочетания, эти словосочетания используются в качестве строк запроса через популярные поисковые системы. Затем вредонос выбирает случайный фрагмент текста длиной 2-4 слова с каждой веб-страницы в результатах поиска и использует его для следующего этапа поисковых запросов.

Следующим шагом вредонос ищет сайты под управлением WordPress, однако эксперты утверждают, что бэкдор также интересуется Drupal, Joomla, PHP-NUKE, phpFox и DedeCMS.

нов сформирован, вредонос отправляет его боту в формате login:password@domain. Далее, как утверждают исследователи ESET, боты пытаются подобрать данные для входа, используя пресловутый метод брутфорс. Чтобы избежать блокировки, каждый бот использует только одну попытку входа, переходя затем к следующему домену.

В ESET также отмечают, что Sathurbot использует в своих атаках XML-RPC API.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Суд в Бурятии разрешил использовать чужую ЭП

Бичурский районный суд Республики Бурятия фактически допустил использование чужой электронной подписи (ЭП). Такое решение было принято по иску бывшей сотрудницы районной администрации, чья квалифицированная ЭП использовалась для различных операций уже после её увольнения.

Л. В. Захарова, до 6 февраля занимавшая руководящую должность в администрации Бичурского района, подала иск к своему бывшему работодателю, указав на неправомерное использование её квалифицированной электронной подписи, что нарушает требования действующего законодательства.

Несмотря на то, что ЭП утратила законную силу, в течение нескольких рабочих дней с её помощью осуществлялись финансовые операции и оформлялись новые трудовые договоры.

«В ходе рассмотрения дела установлено, что решения об использовании сертификата ключа проверки электронной подписи уволенного руководителя при подписании платёжных документов были приняты главным бухгалтером Управления культуры без согласования с заместителем начальника и исполняющим обязанности начальника учреждения. По данному факту главой администрации назначена служебная проверка», — говорится в решении суда.

По оценке телеграм-канала «Об ЭП и УЦ», этот прецедент представляется крайне опасным, так как может фактически легализовать использование чужих ЭП без последствий для нарушителей. Если решение не будет обжаловано (а, как сообщается, истец уже инициировала процесс обжалования в вышестоящих судах), это создаёт предпосылки для массовых злоупотреблений, особенно в органах власти и бюджетных организациях.

По данным, приводимым тем же источником, до 90% электронных подписей в России создаются с нарушением требований закона «Об электронной подписи».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru