Специалисты ESET предупреждают о росте активности трояна Sathur­bot. Малварь использует для распространения торренты и объединяет зараженные компьютеры в ботнет. Сеть Sathur­bot действует с июня 2016 года и насчитывает 20 000 зараженных устройств. Операторы Sathur­bot распространяют троян через скрытые страницы с торрентами, которые размещают на скомпрометированных сайтах. Пользователь попадает на такие страницы из поисковой выдачи, когда пытается найти пиратский фильм или софт.

2e779d54b15646ea9f8758e1ccc07617 - ESET: троян Sathurbot атакует пользователей торрентов

Загрузив торрент, пользователь обнаруживает в нем «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается Sathur­bot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в зараженной системе. Sathur­bot может загружать и запускать другие вредоносные программы. Специалисты ESET наблюдали установку Boaxxe, Kovter и Fleer­civet, но не факт, что операторы трояна ими ограничатся.

Другая функция Sathur­bot предназначена для компрометации Word­Press-сайтов. Троян получает от управляющего сервера список из 5000 общеупотребимых слов и использует их в качестве поисковых запросов в Google, Bing и Яндексе, объединяя в фразы случайным образом. Затем программа пополняет словарный запас – она выбирает по 2 – 4 новых слова с сайтов, оказавшихся на первых страницах поисковой выдачи. Новые слова используются для второго раунда поиска. Далее Sathur­bot изучает сайты, полученные на втором этапе. Малварь выясняет, какие из них работают на базе Word­Press, обращаясь для этого к адресу имядомена/wp-login.php. Обнаружив Word­Press-сайт, троян сообщает об этом на второй управляющий сервер злоумышленников.

47d3bc2d6f424bb990de1fe5e673db9a - ESET: троян Sathurbot атакует пользователей торрентов

Второй сервер предназначен для компрометации сайтов путем перебора паролей. Он направляет на зараженные компьютеры в составе ботнета данные для авторизации на найденных Word­Press-сайтах. Каждый бот из 20 000 пытается авторизоваться только один раз – это позволяет избежать блокировки. Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвует в раздаче торрентов, часть – только подбирает учетные данные к Word­Press-сайтам.

Подписывайтесь на наши соц.сети, канал IT Zine в Telegram.
А также на канал ForGeeks