Ботнет для майнинга атаковал сайты под управлением WordPress

Операторы ботнета KashmirBlack взломали сотни тысяч сайтов под управлением популярных систем управления контентом (CMS) WordPress, Joomla, Magneto и Drupal. Об этом сообщают специалисты компании Imperva.

Ботнет эксплуатирует десятки известных уязвимостей CMS и осуществляет миллионы атак в день.

«Как правило, администраторы сайтов не устанавливают вовремя новые обновления для CMS, поэтому их можно взломать через известные уязвимости. Этот вектор обеспечивает высокую эффективность атак для быстрого роста ботнета», – отмечает аналитик Imperva Офир Шати.

Источник: imperva.com

Один зараженный вредоносным ПО сайт способен ежедневно атаковать 240 хостов или 3450 сайтов. За последние 11 месяцев 285 обнаруженных исследователями систем-ботов даже при минимальной успешности атак взломали около 230 тысяч сайтов.

Операторы KashmirBlack используют для хранения файлов с обновлениями кода легитимные облачные хранилища – Dropbox и GitHub. Для повышения скорости реагирования в инфраструктуру вредоноса включена функция балансировка нагрузки при подключении к командным серверам.

«Ботнет может легко замаскироваться под легитимный трафик. Сервисы не детектируют его, так как бот просто хранит файлы. Нет вредоносного функционала», – объясняют эксперты.

Большинство серверов занимаются майнингом криптовалюты и рассылкой спама, но в некоторых случаях ботнет используется для дефейса – подмены страниц сайтов.

По одной сигнатуре дефейса исследователи нашли ключ к разгадке личности оператора ботнета, хакера Exect1337, который является членом индонезийской хакерской группировки PhantomGhost.

Ранее эксперты предупредили о возросшей активности ботнета Lemon Duck для майнинга Monero.

Подписывайтесь на новости ForkLog в Telegram: ForkLog Feed — вся лента новостей, ForkLog — самые важные новости и опросы.