Ландшафт киберугроз дополнился новым ботнетом, атакующим системы Windows, на которых запущено RDP-соединение, открытое в Сеть. Об угрозе рассказал Ренато Мариньо, эксперт из компании Morphus Labs.
По словам Мариньо, ботнет пытается атаковать 1 596 571 конечных точек, и эта цифра будет только расти в ближайшие дни, считает исследователь.
Ботнет получил имя GoldBrute. Алгоритм его работы можно разложить следующим образом:
- Ботнет проводит брутфорс-атаку, пытаясь получить доступ к системе Windows через RDP.
- Далее загружается ZIP-файл с вредоносным кодом GoldBrute.
- Сеть сканируется на наличие новых жертв.
- Если находится 80 новых потенциальных целей, вредонос отправляет список IP-адресов на свой командный сервер (C&C).
- После получения списка адресов для каждого будет подбираться имя пользователя и пароль.
- Бот осуществляет брутфорс-атаку и отправляет результаты обратно на C&C-сервер.
Эксперт предупреждает, что масштабы GoldBrute растут быстрыми темпами.
Напомним, что на днях количество актуальных киберугроз дополнилось еще одной 0-day уязвимостью, которая позволяет атакующему перехватить сессии RDS (Remote Desktop Services, службы удаленного рабочего стола). Этот вектор атаки приводит к получению контроля над целевым устройством.