Очень быстрорастущий ботнет обнаружили эксперты по кибербезопасности компании Defiant . На текущий момент в нем состоит 20 000 зараженных сайтов на WordPress, причем пополняются ряды зомби через брутфорс других таких же сайтов на WordPress с помощью словарных атак. И пополняются крайне активно: только за последний месяц эксперты зафиксировали более 5 000 000 таких попыток перебора учетных данных.
Согласно отчету исследователей, ботнет имеет пирамидальную структуру управления. четыре C&C-сервера, рассылают сайтам инструкции, используя более 14 000 прокси, арендованных на best-proxies[.]ru.Команды передаются вредоносным скриптам, размещенным на зараженных сайтах. Эти скрипты получают от командных серверов списки целей и подготавливают перечень возможных паролей для них, основываясь на готовом списке парольных паттернов. Затем происходит, собственно, брутфорс админок целеых WP-сайтов.
Иронично, что операторы ботнета допустили ошибку и в имплементации собственной системы аутентификации в панели администратора. В итоге специалисты по кибербезопасности получили возможность обойти систему авторизации и понаблюдать за работой ботнета изнутри.
В настоящее время вся информация по ботнету уже передана в руки правоохранителей, но он по-прежнему в строю и продолжает работать. Командные серверы располагаются на хостинге HostSailor, который не реагирует на запросы полиции.
Читайте также как другой новый ботнет превратил тысячи серверов в дойных криптокоров .
