Malware Sathurbot se propaga a través de archivos Torrent, ataca sitios WordPress


Investigadores de seguridad de ESET han descubierto un nuevo malware llamado Sathurbot que se basa en archivos de torrents maliciosos para propagarse a nuevas víctimas y realiza ataques coordinados de fuerza bruta en sitios de WordPress.

El propósito de este malware es ayudar a los delincuentes a hacerse cargo de los sitios de WordPress, que posteriormente pueden utilizar para alojar desde spam de SEO a centros de descarga de programas maliciosos.


La búsqueda de torrents de películas genera malware

La cadena de infección comienza cuando los usuarios buscan un torrente de películas en motores de búsqueda como Google, Bing o Yandex.

Utilizando sitios previamente comprometidos de WordPress, los atacantes crean páginas ocultas en estos sitios web donde alojan una página de descarga de torrents. Aprovechando la buena clasificación del motor de búsqueda del sitio original, algunos de estos resultados aparecen de forma prominente en los listados de búsqueda.

Los usuarios que descargan el torrente lo encontrarán muy bien sembrado, en su mayoría usuarios previamente infectados. El torrent descargará un archivo de película, un instalador de paquete de códec y un archivo de texto explicando al usuario que tiene que ejecutar el instalador de códec en primer lugar, para ver la película.

Este instalador contiene el malware Sathurbot. Cuando se ejecuta, se mostrará un mensaje de error que alega un error durante la descarga, pero en realidad, la infección Sathurbot ya se ha arraigado por ese punto.


Las víctimas de Sathurbot buscan a Google más víctimas

Después de la instalación, Sathurbot realiza una consulta DNS que devolverá la dirección de su primer servidor C & C (comando y control). Este primer servidor de C & C puede decirle que realice una de dos acciones. Puede indicarle que descargue malware adicional (Boaxxe, Kovter o Fleercivet) o que realice una serie de consultas de búsqueda.

Mientras que la primera acción es mundana para la mayoría de las operaciones de botnet de malware, la segunda parte es más interesante porque conduce a ataques de fuerza bruta en sitios de WordPress.

Esto comienza con el servidor C & C enviando a la PC infectada una lista de más de 5.000 palabras. El equipo infectado elige entre 2 y 4 palabras, consulta Google, Bing o Yandex y recupera las primeras páginas de resultados. A continuación, selecciona otro conjunto de 2-4 palabras que se encuentran comúnmente en el primer lote de resultados de búsqueda y consulta de nuevo los motores de búsqueda.

Finalmente, el bot selecciona los tres primeros resultados de la búsqueda, extrae los nombres de dominio e intenta identificar si alguno de ellos se está ejecutando en WordPress buscando la URL http: //domain/wp-login.php. Si el bot encuentra un sitio de WordPress, reporta el dominio a un segundo servidor de C & C.


Usuarios infectados empleados en ataques de descifrado de contraseñas

Este servidor secundario es donde se coordinan los ataques de fuerza bruta. El servidor comienza asignando a cada bot un nombre de usuario y una contraseña para comprobar cada dominio. Ningún bot intenta iniciar sesión en un sitio más de una vez, para evitar ser incluido en la lista negra.

Según ESET, el tamaño de esta botnet es de aproximadamente 20.000 bots, lo que significa que el servidor C & C tiene 20.000 intentos de adivinar la contraseña de cualquier sitio.

Si entran con éxito en un sitio, los atacantes lo utilizan para alojar otros archivos torrent, spam SEO, descargas de malware o servidores C & C para otras operaciones. En este punto, toda la operación entra en un círculo vicioso.