Sathurbot, una puerta trasera distribuida a través de sitios WordPress

Sathurbot, una puerta trasera distribuida a través de sitios WordPress

De nuevo los ciberdelincuentes saben cómo jugar sus cartas. En esta ocasión, se han valido de sitios web WordPress para distribuir una puerta trasera entre los usuarios. Sathurbot es el nombre de la amenaza y ya ha infectado un total de 20.000 usuarios. Se valen de anuncios en los que se promete la descarga de series y películas de forma totalmente gratuita.

Sin embargo, el resultado final es que el usuario descargará la puerta trasera. La compañía ESET ha sido la encargada de llevar a cabo un análisis del comportamiento de la amenaza. Han determinado que se está distribuyendo desde el mes de junio del pasado año, aunque el nivel de actividad por el momento ha sido bastante bajo.

Desde la compañía de seguridad confirman que los ciberdelincuentes se están valiendo de cuentas de gestión de los sitios webs para modificar la configuración del portal y así publicar la amenaza que nos ocupa. Indican que los ataques que se están realizando están basados en fuerza bruta, utilizando diccionarios con las contraseñas más comunes, desembocando esto en otro problema adicional que detallaremos posteriormente.
Ofreciendo contenidos falsos para distribuir la amenaza

Tal y como ya hemos indicado en el comienzo, los atacantes ofrecen contenido en el que se indica la posibilidad de descargar tanto películas como capítulos de series de forma totalmente gratuita. Sin embargo, esto no es así, y lo que en realidad está descargando el usuario es la amenaza. Está diseñada para afectar a usuarios con sistema operativo Windows y las sospechas deberían aparecer justo en el momento la descarga, cuando esta solo dura apenas unos segundos. En el caso de ser una película o serie el tiempo invertido debería ser mucho mayor. Sin embargo, teniendo en cuenta que la descarga es a priori de un torrent, el usuario cae en el engaño con facilidad.

Sí es cierto que por el momento la tasa de infección resulta bastante baja y que la actividad de la presencia de la amenaza en Internet no ha sido destacable.

Después de la descarga, ¿qué sucede?

Tras ejecutar el fichero, lo primero que recibe el usuario es un aviso de que ha ocurrido un error y la instalación no podrá iniciarse. el problema es lo que el usuario no ve. Mientras está prestando atención a este mensaje, en segundo plano se están instalando todos los componentes que la amenaza necesita para funcionar de forma correcta.

Desde ESET han detectado la presencia de un módulo que se encarga de la comunicación con el servidor de control remoto. Sathurbot posee la habilidad de actualizarse de forma automática.

Aunque es WordPress la que aglutina un alto porcentaje, hay que decir que otros como Drupal, Joomla, PHP-NUKE, phpFox o DedeCMS también se han visto afectados, aunque por el momento en menor medida

La contraseñas obtenidas se utilizan para atacar otros servicios

Dado que los ciberdelincuentes están encontrando en la configuración de la cuenta de gestión direcciones de correo electrónico, los ciberdelincuentes también han optado por probar fortuna en estos servicios. Aunque no es muy recomendable, los usuarios reutilizan las contraseñas en diferentes servicios. Esta práctica implica que si uno se ve afectado es muy probable que el resto también.

– Ver información original al respecto en Fuente:
https://www.redeszone.net/2017/04/09/shaturbot-una-puerta-trasera-distribuida-a-traves-de-sitios-wordpress/#sthash.zkdtvYUI.dpuf