Троянец Sathurbot на торрентах
Как сообщила компания ESET, ее специалисты предупреждают о росте активности троянца Sathurbot, который использует для распространения торренты и объединяет зараженные компьютеры в ботнет. Сеть Sathurbot действует с июня 2016 г. и насчитывает 20 тыс. зараженных устройств.
Операторы Sathurbot распространяют вредоносное ПО через скрытые страницы с торрентами, которые размещают на скомпрометированных сайтах. Пользователь попадает на такие страницы из поисковой выдачи, когда пытается найти пиратский фильм или софт.
Загрузив торрент, пользователь обнаруживает в нем «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается Sathurbot. Далее троянец обращается к управляющему серверу, получает команды и выполняет их в зараженной системе.
Sathurbot может загружать и запускать другие вредоносные программы. Специалисты ESET наблюдали установку Boaxxe, Kovter и Fleercivet, но не факт, что операторы троянца ими ограничатся.
Другая функция Sathurbot предназначена для компрометации WordPress-сайтов. Троянец получает от управляющего сервера список из 5000 общеупотребимых слов и использует их в качестве поисковых запросов в Google, Bing и Яндексе, объединяя в фразы случайным образом. Затем программа пополняет словарный запас, выбирая по 2–4 новых слова с сайтов, оказавшихся на первых страницах поисковой выдачи. Новые слова используются для второго раунда поиска.
Далее Sathurbot изучает сайты, полученные на втором этапе, и выясняет, какие из них работают на базе WordPress, обращаясь для этого к адресу имядомена/wp-login.php. Обнаружив WordPress-сайт, троянец сообщает об этом на второй управляющий сервер злоумышленников. Этот сервер предназначен для компрометации сайтов путем перебора паролей: он направляет на зараженные компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый бот из 20 тыс. пытается авторизоваться только один раз – это позволяет избежать блокировки.
Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвует в раздаче торрентов, часть только подбирает учетные данные к WordPress-сайтам.
Как напоминают в ESET, пользователи антивирусных продуктов NOD32 защищены от описанной угрозы.