Компания ESET предупреждает о росте активности вредоносной программы Sathurbot, которая распространяется через скрытые страницы с торрентами, размещённые на скомпрометированных сайтах.
Пользователи попадают на опасные веб-страницы через поисковую выдачу, когда пытаются найти, скажем, фильм или какой-либо программный продукт. Загрузив торрент, потенциальная жертва обнаруживает в нём «инсталлятор для кодека». Это исполняемый файл, после запуска которого в систему загружается собственно Sathurbot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в заражённой системе.
Троян способен обновляться, загружать и запускать на инфицированном ПК другие исполняемые файлы. Зловред объединяет заражённые компьютеры в ботнет: сейчас эта сеть насчитывает около 20 тыс. устройств.
Другая функция Sathurbot предназначена для компрометации WordPress-сайтов. Для этого используется схема перебора паролей. Вредоносная программа направляет на заражённые компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый бот из 20 тыс. пытается авторизоваться только один раз — это позволяет избежать блокировки.
Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвуют в раздаче торрентов, часть — только подбирают учётные данные к WordPress-сайтам.
Более подробную информацию о схеме работы вредоносной программы можно найти здесь.
Источник: 3DNews
